上周,當谷歌(Google)的一名研究人員和芬蘭安全公司Codenomicon的一支團隊分別報告稱發現了名為“心臟出血”的互聯網安全漏洞時,人們更加清晰地見識到了銀行卡和信用卡數據以及網站登錄名和密碼等其他敏感信息的脆弱性。心臟出血漏洞既隱蔽又危險,可以讓黑客們從服務器內存中每次竊取64KB數據(即使是加密數據也不例外)而不會留下任何痕跡。雖然終端用戶對SSL/TLS的加密能力很放心,認為它們能使數據遠離那些窺探的眼睛,但URL中的“https”和鎖住的掛鎖圖標是殘酷的騙局。
相關消息傳出后,各個網站已經作出應對,更新了OpenSSL版本。OpenSSL是最常使用的SSL/TLS變體之一。SSL/TLS協議旨在實現非對稱加密,為每個通信會話生成獨一無二的私鑰,對各方之間交換的信息進行加密和驗證。但心臟出血漏洞使私鑰和那些意圖保密的信息變得更加容易竊取。而且,網站經營者完全不知道這是有可能的。
這個漏洞的危害有多大?安全專家布魯斯·施奈爾(Bruce Schneier)在他的同名博客上寫道:“服務器內存里的任何東西——SSL私鑰、用戶密鑰和其他任何東西——都很容易受到攻擊。你不得不假定它們都不安全。全部都是。”他接著說:“恕我直言, 災難性 是合適的詞語。如果用1到10來打分,它應該是11分。”
施奈爾是在危言聳聽嗎?可惜他不是。
他指出,使用OpenSSL的約50萬家網站(包括他自己的網站)存在心臟出血漏洞。這是個壞消息。更糟的是,自從受影響的OpenSSL版本在2012年3月發布以來,這種使黑客可以竊取電子郵件、即時通訊、電子商務和其他所有信息的漏洞始終沒有被發現。
《華盛頓郵報》(Washington Post)一篇討論心臟出血漏洞的文章試圖從樂觀的角度來加以分析,寫道:“這個漏洞可能從來沒有被黑客發現,但幾乎不可能知道究竟是不是如此。”但如果你相信沒有黑客們曾經利用過這個機會,那么你可能會對我在內陸國家的一些海濱房產感興趣。
至少,我們知道這個漏洞并非是作為惡意圖謀的一部分而植入代碼的。OpenSSL日志顯示,德國開發者羅賓·西格爾曼(Robin Seggelmann)在2011年12月編寫了該漏洞,但他說這完全是無意的。諷刺的是,當時西格爾曼的任務包括修復代碼中存在的幾個漏洞并增添新的功能。他對《悉尼先驅晨報》(Sydney Morning Herald)說:“不幸的是,在一個新功能中,我忘記驗證一個包含字符串長度的變量。”
亡羊補牢的工作目前正在進行中。OpenSSL補丁已經公布,進行了版本更新的網站建議用戶修改密碼作為預防措施。但LaserLock科技公司的首席技術官保羅·唐弗里德(Paul Donfried)說,亟需的修復并非是補丁。該公司出售用于數字驗證和防止偽造及身份欺詐的產品。
對于《華盛頓郵報》的那篇文章,他寫道:
“心臟出血漏洞迫使大多數互聯網用戶修改他們所有的密碼,導致大多數系統管理員給OpenSSL打補丁并安裝新證書。值此之際,或許是時候問問,為什么人們還在使用密碼來驗證身份?采用了生物識別技術的驗證方法非常強大,雖然無法保護存在漏洞的SSL代碼片段,但能夠避免身份盜竊、重復攻擊以及我們現在不得不忍受的所有痛苦和折磨。整合了面部和語音識別技術、能在用戶現有設備上運行的強大身份驗證方法已經出現,這使我們不禁要問:真正想保護用戶數據的網站為什么繼續依賴于密碼、PIN或其他任何可以共享的秘密?更加強大、更易于使用和更有彈性的方法就在眼前。”
唐弗里德的公司出售的產品旨在準確識別誰正在參與交易,這可以防止網絡安全漏洞導致登錄信息被竊取后遭到濫用。顯然,這就是他提出上述觀點的原因。但他主要擔心的是,像心臟出血這樣的安全問題沒有削弱人們對互聯網安全的整體信心。
“作為一個行業和互聯網社區,我們有責任確保新的安全協議在發布之前經過軍事級別的徹底測試。”唐弗里德說。
毫無疑問,他支持驗證過程中將生物識別驗證與帶外通信相結合。“即使某些網站保護了用戶的敏感數據,但用戶很有可能在信息被竊取的其他網站上使用了相同的密碼。”他說。而且,有些網站提供的只是安全的假象。“通常來說,通過SSL信道傳送的第一個東西就是身份驗證信息。不幸的是,使用OpenSSL的絕大多數網站都依靠這個安全協議來保護那類數據。”
這一切提出了兩個重要的問題:還有沒有仍然未被發現的其他“災難性”互聯網漏洞?登陸密碼作為默認的身份驗證方法還要沿用多久?
京公網安備 11010502049343號