OpenSSL安全协议存在漏洞危及网络用户数据安全

煎饼

/ e# ?* d6 a1 H 4月9日消息，据华尔街报道，许多网站使用的OpenSSL安全协议存在漏洞，可能导致大量隐藏数据被盗取。据谷歌和网络安全公司Codenomicon的研究人员透露，OpenSSL加密代码中一种名为Heartbleed的漏洞存在已有两年之久。三分之二的活跃网站均在使用这种存在缺陷的加密协议。他们指出可使用的补丁，网站可用以自我保护以及维护用户的安全。
- q3 Z* u% q- D+ S- k. _& D3 V8 M
3 Q. C* u( U+ a0 y% M, `$ q5 l1 x包括主页和邮箱在内的数个雅虎网站也存在这种安全漏洞。雅虎发言人今日表示，“我们的团队已经成功地完成雅虎各个网站的修复。”
! k' e. s/ `- G& A3 D
& ^+ D. f+ G& @4 L3 s% c1 h一些零售商表示，在雅虎修复漏洞之前，他们能够获得雅虎的用户名和密码。
/ G6 F: i! M, {( ]! U
网络安全公司Qualys的一名研究员伊万•瑞斯提克(Ivan Ristic)创建了一种测试网站是否存在Heartbleed漏洞的工具。工具发布当天，他的网页访问量增加了7倍。他估计，使用SSL的服务器中，有30%存在漏洞。

) @( F$ a0 l# m& S7 O8 F" D; J4 H1 Q经瑞斯提克的工具测试显示，许多大型网站，如谷歌、亚马逊、eBay等网站较安全，未受到这种漏洞的影响。
7 F2 B7 {( q6 R2 u1 x
& @$ {8 O4 x! @' ?越来越多的网站使用加密代码来保护如用户名、密码和信用卡号等数据，这能够防止黑客通过网络盗取个人信息。
) U1 W! r  O: {1 X( X. L! D
2 J1 q, _* L. b# M3 [  s! ?这种加密协议被称为SSL(Secure Sockets Layer安全套接层)或TLS(Transport Layer Security Protocol安全传输层协议)。当一个网站使用这种安全协议，浏览器中的地址栏旁会出现挂锁图标。

$ J9 C+ F8 n; ]; C) i7 J  Q+ F编写加密代码十分复杂，所以很多网站使用一种开源的免费安全协议，即OpenSSL。如亚马逊，该公司在其网站上建议，云计算服务Amazon Web Services的用户在为网页加密时使用OpenSSL。但有关OpenSSL漏洞的消息爆出后，亚马逊对记者的置评请求未立即回应。
  [0 s% ^6 {5 ~' E7 u3 e- R' s
. j  j9 Z5 x: X+ b/ r* A
- O8 z+ O7 o( h8 o/ z, zOpenSSL存在的缺陷在于，使用某些最新OpenSSL版本的Web服务器会存储一些不受内存保护的数据。黑客可以获取这些数据，重建有关用户或密钥的信息，进而监视过去或将来的加密数据。

一名研究员表示，“任何人都可以利用这种漏洞在互联网上获取数据，而且场地不限，我可以在自己的办公室，也可以在其他国家实现数据的盗用。”
6 U7 \4 ^9 @  Q8 r# n7 m/ Z
+ u) r2 H4 |9 ~+ o( f* zOpenSSL漏洞的消息一出，许多网站措手不及，未能及时采取补救措施。

旨在保护互联网用户身份的Tor Project公司总裁罗杰·丁格勒戴(Roger Dingledine)表示， “接下来几天各个网站开始着手修复漏洞，为了确保个人信息或隐私不被窃取，这段时间最好完全不用互联网。”（惜辰）