laserdai的柠檬茶间分享 http://blog.sciencenet.cn/u/laserdai 品茶、喝咖啡、闲话、科学八卦、与聊天

博文

心滴血Heartbleed不是计算机病毒而是程序漏洞 精选

已有 7755 次阅读 2014-4-12 06:50 |个人分类:科普|系统分类:科普集锦| windows, 计算机, 微软公司, 心滴血, Heartbleed

看到很多新闻都说,心滴血(Heartbleed)计算机病毒来势凶猛,可导致严重泄密。 其实,这个心滴血Heartbleed不是计算机病毒,而是程序漏洞。就是因为这个漏洞,可以让很多病毒借机溜进来,窃取一些机密。

大家相信明白知道,美国微软公司的视窗(Windows)系统其实是垃圾,因为它从来不是一个严密的软件,就像一张渔网 一样,到处都是漏洞。因为微软公司追求最高商业利润,引起公愤,因此这些漏洞被计算机高手们(黑客们)发现,设计了病毒进行攻击(当然也有品行不够的骇客,利用这些漏洞设计病毒窃取机密信息或者窥探隐私)。所以,大家都见到,每过一段时间,微软就发布补丁程序,修补漏洞。最近,Windows XP 系统停用,就是因为微软发布到补丁包ServicePack3已经把WindowsXP系统补得不象个样子,再加上奸诈的商业手段,重新包装成Windows7系统(其实是旧货刷层绿漆而已),再买一遍,继续赚大钱。


这个心滴血(Heartbleed)漏洞,不是微软的漏洞,而是某种网络传输方式的漏洞。

SSL(安全套接层)协议是使用最为普遍的网站加密技术,而OpenSSL则是开源的SSL套件,为全球成千上万的web服务器所使用。我们通常使用的email系统,绝大多数都是使用SSL技术加密的。

Web服务器正是通过它来将密钥发送给访客然后在双方的连接之间对信息进行加密。大家平时见到的用https打头的连接都采用了SSL加密技术。大家几乎天天使用的在线购物、网银等活动均采用SSL技术来防止窃密及避免中间人攻击。

据专家透露,运行特定版本OpenSSL的web服务器均存在一个名为心滴血“Heartbleed”的漏洞,黑客利用此漏洞可盗走网站用于加密在线交易和web连接的密钥,并导致用户在进行搜索或邮箱登录时个人信息被泄露,也可能导致在线购物、网银等活动中的一些秘密信息被盗走,比如信用卡号,银行帐号等。

Heartbleed漏洞之所以得名,是因为用于安全传输层协议(TLS)及数据包传输层安全协议(DTLS)的Heartbeat扩展存在漏洞。Heartbeat扩展为TLS/DTLS提供了一种新的简便的连接保持方式,但由于OpenSSL 1.0.2-beta版本与OpenSSL 1.0.1版本在处理TLS heartbeat扩展时的边界错误,黑客攻击者可以利用漏洞披露连接的客户端或服务器的存储器内容,导致攻击者不仅可以读取其中机密的加密数据,还能盗走用于加密的密钥。

漏洞还可能导致用户信息的泄露。比方说黑客已经可以利用此漏洞通过查看最近访问受影响服务器的用户的cookie来获取其个人信息。已有开发者报告说发现可利用此漏洞查看到以保护用户隐私出名的搜素引擎DuckDuckGo上的用户搜索记录,Yahoo也被发现存在此漏洞导致用户凭证的泄露。

据估计,全球受影响的服务器数量可能多达几十万。其中已被确认受影响的网站包括Imgur、OKCupid、Eventbrite以及美国联邦调查局FBI网站等,不过放心,Google未受影响。

据澳大利亚报纸报道,一个德国的电脑编程人员承认对Heartbleed漏洞出现负有责任。31岁的德国人罗宾·西格尔曼2011年12月31日在试图修改开发代码OpenSSL密码库的时候犯了一个错误。

罗宾·西格尔曼说,人们愿意认为这是恶意事件,但是实际上它只是新程序编制当中的一个编程错误,而很不幸发生在同安全相关的领域。受到这个编程漏洞影响的设备包括网络路由器和开关、录像会议的设备、电话软件、防火墙和让人能够远程进入公司数据库的软件。这个加密的漏洞可能会被利用盗取保护电脑用户的密码和密匙。

美国政府警告说他们认为黑客正试图利用Heartbleed漏洞进行攻击。美国国土安全部建议公众修改那些受影响的网站的密码。不过一名官员也说还没有任何关于黑客攻击和恶意事件的报道。

参考阅读:

“Heartbleed”漏洞恐令数十万服务器泄密

http://www.migroom.com/articles/bugvirus/7315.html

http://www.pingwest.com/heartbleed-bug/



https://wap.sciencenet.cn/blog-99360-784121.html

上一篇:返老还童的曙光:英国爱丁堡科学家成功扭转老鼠器官衰老
下一篇:《PISA测试》开始忽悠世界中学教育
收藏 IP: 80.41.249.*| 热度|

17 罗德海 陈楷翰 陈冬生 赵凤光 曹聪 庄世宇 姜咏江 赵美娣 郑小康 李宇斌 刘淼 薛宇 Majorite biofans yunmu JIANHUN xqhuang

该博文允许注册用户评论 请点击登录 评论 (11 个评论)

数据加载中...
扫一扫,分享此博文

Archiver|手机版|科学网 ( 京ICP备07017567号-12 )

GMT+8, 2024-3-29 05:16

Powered by ScienceNet.cn

Copyright © 2007- 中国科学报社

返回顶部