※ [本文转录自 IA 看板 #1JHiSBA5 ] 作者: bluebrown (仨基友撸一把) 看板: IA 标题: [新闻] OpenSSL加密现大漏洞 威胁全球2/3网站 时间: Fri Apr 11 00:29:54 2014 标题:OpenSSL加密现大漏洞 威胁全球2/3网站 恐泄百万计密码卡号 新闻来源: 钜亨网新闻中心 http://news.cnyes.com/Content/20140410/KIUSUSKBCEBKY.shtml 网络世界保安敲起严重警号，涉及全球多达2/3网站。欧美保安专家发现，一项全球普及的互联网加密技术2年来一直存在重大漏洞，令骇客有机会破解普通民众的网上社交活动信息的加密保护，不留痕迹地窃取其密码、储存档案以至银行户口和信用卡资料等重要私隐，数以百万计密码和信用卡号码或因此泄露。 香港《明报》综合外电消息，今次漏洞发现於加密软件「OpenSSL」，分别由芬兰科技保安企业Codenomicon的3名员工组成的研究队伍和Google保安的梅塔(Neel Mehta)在上周发现。芬兰团队是在改善公司旗下Defensics电脑防护软件的SafeGuard功能期间知悉，而梅塔则是首名向「OpenSSL」研究队伍通报漏洞的人。 上述研究人员在周一公布发现漏洞。《纽约时报》指漏洞涉及全球2/3网站，Google、facebook、雅虎和亚马逊网上服务等科技巨擘纷纷宣布正在或已经修复问题。科技网站Ars Technica表示，其保安研究员成功利用免费工具，从雅虎电邮窃取资料，雅虎承认网站容易中招，但强调及後已修补旗下各项程式。 研究人员将今次漏洞命名为「心脏出血」(Heartbleed)，原因是它与「OpenSSL」系统一项名为「心跳」的功能有关。「OpenSSL」系统是处理互联网SSL加密格式的其一最常见程式库，其「心跳」功能容许骇客向社交和金融服务网站的伺服器送出恶意信息，从而骗取对方泄露机密信息。 Codenomicon行政总裁David Chartier形容这是严重漏洞：「不怀好意者可进入电脑储存，窃取加密钥匙、用户名称、密码和有价值的知识产权，而且不会留下任何痕迹。除非骇客向你勒索，或在网上发布你的资讯，或盗取并利用贸易秘密，你不会知道你有否中招。」 LastPass总裁Joe Siegrist则形容，漏洞可怕之处，在於不知道各公司有什麽信息被窃，亦不知道漏洞被发现前遭骇客利用了多久。《纽约时报》引述保安专家称，有证据显示部分骇客知道漏洞存在，并曾利用过它窃取资料。 网络保安专家指出，相关网站拥有者应尽快将现时采用的「OpenSSL」系统升级。不过建议用户等待，别急覑随便修改密码，因为若在尚未修复的网站上修改密码，或令新密码为骇客知悉，因此建议用户先到https://www.ssllabs.com/ssltest/ 网站输入网址，以求证相关网站是否已经修复问题。本报测试了香港汇丰银行、恒生银行、中银香港、惠康「惠康为您送」网上购物网站和缴费灵等涉及银行户口和网上交易的网站，全部已经更新了程式，不再受今次漏洞影响。 今次出现保安漏洞的OpenSSL系统，是网上最普及的加密格式「SSL」最常见的处理软件，香港电脑保安事故协调中心高级顾问梁兆昌向本报形容，「SSL」与「OpenSSL」的关系，就相当於「.doc」档案格式与文书处理软件「MS Word」的关系。他形容今次漏洞非常严重，一方面这项漏洞令OpenSSL加密系统形同虚设，另一方面OpenSSL相当流行，意味覑潜在受影响人数极多。 有关今次漏洞与潜在影响的基本原理，梁兆昌解释，骇客本身可以用户身分接上社交网络或网上银行等安装了OpenSSL的网站的伺服器，然後利用OpenSSL系统漏洞，窃取伺服器内部的记忆资料，包括「公共钥匙」(public key)。 伺服器本身与用户个人电脑的联系，便是靠公共钥匙产生出来的「对话钥匙」(session key)作加密，而每段「通讯」都会有不同的对话钥匙作识别。骇客取得公共钥匙後，便相当於取得「百搭匙」，掌握了各个通讯的对话钥匙。换言之，我们登入电邮(伺服器)期间输入的密码，以及其後的通讯内容，本来得到对话钥匙保护，现在则形同虚设，让骇客轻松取得。 OpenSSL在1998年面世，不过发生问题的只限於2012年以後的版本。 梁兆昌解释，软件升级或改版的过程中，例如加入不同的功能，如果当中设计欠佳，就会无意造成新漏洞。 ※每日每人发文、上限量为十篇，超过会劣文请注意 ⊕标题选用"新闻"，请确切在标题与新闻来源处填入，否则可无条件移除(本行可移除) -- 景公盖姣，有羽人视景公僭者。公谓左右曰：「问之，何视寡人之僭也？」 羽人对曰：「言亦死，而不言亦死，窃姣公也。」公曰：「合色寡人也？杀之！」 晏子不时而入见曰：「盖闻君有所怒羽人。」公曰：「然。色寡人，故将杀之。」 晏子对曰：「婴闻拒欲不道，恶爱不祥，虽使色君，於法不宜杀也。」 公曰：「恶然乎！若使沐浴，寡人将使抱背。」 http://a.bbi.com.tw/BL/1GpoqqUV.html --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.132.174.179 ※ 文章网址: http://webptt.com/cn.aspx?n=bbs/IA/M.1397147403.A.285.html

※ 发信站: 批踢踢实业坊(ptt.cc) ※ 转录者: felaray (124.10.80.50), 04/11/2014 10:10:29