資安教父:Heartbleed是網路有史以來最嚴重的臭蟲


(IThome)文/陳曉莉 | 2014-04-10發表

知名密碼學專家Bruce Schneier表示,這是個災難性的臭蟲,如果從1~10要評分的話,他給11分。該臭蟲讓網路上的任何人都能讀取藉由OpenSSL保護的系統內容,可能涵蓋用來確認服務供應商或加密流量的金鑰,也可能是使用者的名稱、密碼,或其他內容,可說是幾乎所有內容都有機會外洩。

即使目前仍然無法確實評估OpenSSL中的heartbeat漏洞所影響的規模,然而,許多分析與評論都認為這是網路有史以來最嚴重的臭蟲,除了以災難或混亂來形容外,也將之稱為「心在淌血」(heartbleed)臭蟲。

OpenSSL為SSL/TLS加密傳輸協定的開放源碼建置套件版本,為一加密函式庫,網路伺服器可用密碼及OpenSSL來保護網站,或是用來加密私人資訊。這個處理TLS heartbeat擴充功能的臭蟲使其可揭露伺服器端或客戶端最多64K的記憶體資訊,鎖定該臭蟲進行攻擊的駭客可以要求伺服器釋出其記憶內儲存的資訊,通常包含解密金鑰,且無從被察覺。

事實上,目前也無法證實該臭蟲是否曾被濫用。卡巴斯基實驗室指出,含有臭蟲的OpenSSL 1.0.1是在2012年3月發表,這代表也許駭客當時就在竊取網路伺服器的通訊或內容。由於廣為流傳的Apache或nginx等伺服器軟體都使用OpenSSL,這兩款伺服器就佔了全球網路伺服器的66%。該臭蟲影響OpenSSL 1.0.1~OpenSSL 1.0.1f版本,舊版的OpenSSL並未受到影響,且OpenSSL已釋出修補了該臭蟲的OpenSSL 1.0.1g。

資安專家Bruce Schneier表示,這是個災難性(catastrophic)的臭蟲,如果從1~10要評分的話,他給11分。Schneier說,該臭蟲讓網路上的任何人都能讀取藉由OpenSSL保護的系統內容,可能涵蓋用來確認服務供應商或加密流量的金鑰,也可能是使用者的名稱、密碼,或其他內容,可說是幾乎所有內容都有機會外洩。

安全管理業者Lieberman Software總裁Phil Lieberman則認為,此一臭蟲將帶來可怕的後果,含有臭蟲的程式碼存在於全球的家用及網路設備上,代表現在的網路已與過去不同。

市場分析指出,要解決這個問題並不容易。縱使包括Google、Amazon、Yahoo、Facebook,或是主要的Linux版本發布商很快就進行系統或產品的更新,但有些應用可能要取消及重新申請憑證,也許需要數天或數周的時間。

另一名安全專家Jason Lefkowitz則表示此事可能會有後遺症。假設使用者在A站的帳號及密碼外洩了,在其他站也使用同樣的密碼,就必須一次更改所有的密碼,他甚至建議使用者最好變更所有在2011年3月以後在各種網路服務上所使用的任何密碼。

Heartbleed網站則說,出現在單一軟體或函式庫的臭蟲來來去去,通常也會釋出新版本來修補,但heartbeat的獨特之處在於它涉及讓大量的私密金鑰或機密內容外洩,而且已存在超過2年的時間,再加上無從追蹤攻擊行動或來源,因此必須特別小心對待。(編譯/陳曉莉)


解決方案:

硬體安全模組 (HSM)

FIPS 140-2 密碼學模組標準簡介

回首頁