※ [本文轉錄自 IA 看板 #1JHiSBA5 ]
作者: bluebrown (仨基友撸一把) 看板: IA
標題: [新聞] OpenSSL加密現大漏洞 威脅全球2/3網站
時間: Fri Apr 11 00:29:54 2014
標題:OpenSSL加密現大漏洞 威脅全球2/3網站 恐洩百萬計密碼卡號
新聞來源: 鉅亨網新聞中心
http://news.cnyes.com/Content/20140410/KIUSUSKBCEBKY.shtml
網絡世界保安敲起嚴重警號，涉及全球多達2/3網站。歐美保安專家發現，一項全球普及的互聯網加密技術2年來一直存在重大漏洞，令駭客有機會破解普通民眾的網上社交活動信息的加密保護，不留痕跡地竊取其密碼、儲存檔案以至銀行戶口和信用卡資料等重要私隱，數以百萬計密碼和信用卡號碼或因此泄露。
香港《明報》綜合外電消息，今次漏洞發現於加密軟件「OpenSSL」，分別由芬蘭科技保安企業Codenomicon的3名員工組成的研究隊伍和Google保安的梅塔(Neel Mehta)在上周發現。芬蘭團隊是在改善公司旗下Defensics電腦防護軟件的SafeGuard功能期間知悉，而梅塔則是首名向「OpenSSL」研究隊伍通報漏洞的人。
上述研究人員在周一公布發現漏洞。《紐約時報》指漏洞涉及全球2/3網站，Google、facebook、雅虎和亞馬遜網上服務等科技巨擘紛紛宣布正在或已經修復問題。科技網站Ars Technica表示，其保安研究員成功利用免費工具，從雅虎電郵竊取資料，雅虎承認網站容易中招，但強調及後已修補旗下各項程式。
研究人員將今次漏洞命名為「心臟出血」(Heartbleed)，原因是它與「OpenSSL」系統一項名為「心跳」的功能有關。「OpenSSL」系統是處理互聯網SSL加密格式的其一最常見程式庫，其「心跳」功能容許駭客向社交和金融服務網站的伺服器送出惡意信息，從而騙取對方泄露機密信息。
Codenomicon行政總裁David Chartier形容這是嚴重漏洞：「不懷好意者可進入電腦儲存，竊取加密鑰匙、用戶名稱、密碼和有價值的知識產權，而且不會留下任何痕跡。除非駭客向你勒索，或在網上發布你的資訊，或盜取並利用貿易秘密，你不會知道你有否中招。」
LastPass總裁Joe Siegrist則形容，漏洞可怕之處，在於不知道各公司有什麼信息被竊，亦不知道漏洞被發現前遭駭客利用了多久。《紐約時報》引述保安專家稱，有證據顯示部分駭客知道漏洞存在，並曾利用過它竊取資料。
網絡保安專家指出，相關網站擁有者應盡快將現時採用的「OpenSSL」系統升級。不過建議用戶等待，別急覑隨便修改密碼，因為若在尚未修復的網站上修改密碼，或令新密碼為駭客知悉，因此建議用戶先到https://www.ssllabs.com/ssltest/ 網站輸入網址，以求證相關網站是否已經修復問題。本報測試了香港匯豐銀行、恒生銀行、中銀香港、惠康「惠康為您送」網上購物網站和繳費靈等涉及銀行戶口和網上交易的網站，全部已經更新了程式，不再受今次漏洞影響。
今次出現保安漏洞的OpenSSL系統，是網上最普及的加密格式「SSL」最常見的處理軟件，香港電腦保安事故協調中心高級顧問梁兆昌向本報形容，「SSL」與「OpenSSL」的關係，就相當於「.doc」檔案格式與文書處理軟件「MS Word」的關係。他形容今次漏洞非常嚴重，一方面這項漏洞令OpenSSL加密系統形同虛設，另一方面OpenSSL相當流行，意味覑潛在受影響人數極多。
有關今次漏洞與潛在影響的基本原理，梁兆昌解釋，駭客本身可以用戶身分接上社交網絡或網上銀行等安裝了OpenSSL的網站的伺服器，然後利用OpenSSL系統漏洞，竊取伺服器內部的記憶資料，包括「公共鑰匙」(public key)。
伺服器本身與用戶個人電腦的聯繫，便是靠公共鑰匙產生出來的「對話鑰匙」(session key)作加密，而每段「通訊」都會有不同的對話鑰匙作識別。駭客取得公共鑰匙後，便相當於取得「百搭匙」，掌握了各個通訊的對話鑰匙。換言之，我們登入電郵(伺服器)期間輸入的密碼，以及其後的通訊內容，本來得到對話鑰匙保護，現在則形同虛設，讓駭客輕鬆取得。
OpenSSL在1998年面世，不過發生問題的只限於2012年以後的版本。
梁兆昌解釋，軟件升級或改版的過程中，例如加入不同的功能，如果當中設計欠佳，就會無意造成新漏洞。
※每日每人發文、上限量為十篇，超過會劣文請注意
⊕標題選用"新聞"，請確切在標題與新聞來源處填入，否則可無條件移除(本行可移除)