之前月光博客有说通过伪造证书这种龌蹉的方式破解Gmail的新思路,用的技术不高,也容易被人发现进而导致名声败裂。权力机构中估计只有法国政府做过这样的丑事,一般人不会如此倒霉。我原以为只要本地主机没问题,那https传输的信息就是可靠的。即便世上不存在完美的系统,所谓的漏洞也应该是个别的存在。类似雅虎、谷歌、腾讯、阿里这样企业不会犯低级安全错误,它们凭借大企业的形象,理应得到人们信赖。这品牌效应可让多数人都沉浸在安全的幻想中,忘了互联网原本脆弱。
就在前天,很多网站刊登了关于OpenSSL漏洞的新闻,一向重视安全的我,看完之后感觉背后凉飕飕,这漏洞影响不是一两家,而是整个互联网近乎三分之二的服务器。外国黑客将其命名为“heartbleed”,意为心脏出血,极端致命。它不是泄露一般的数据,而是以往上锁加密再传送的关键隐私。这最畅销的XX牌锁头,居然可以绕开!悲剧的是,在这之前有近三分之二的人一直都在用这种锁头,其中不乏如腾讯、阿里、谷歌、雅虎、京东这样的知名企业……!
SSL本是基础的互联安全协议,OpenSSL作为套开放源代码的SSL包,因其免费而被众多服务商采用,即便这次出问题的只是1.01系列的版本,可这漏洞出现于2012年3月14日,更新版不久前才放出来,我不免为此汗颜。开源的东西,代码是所有人都能看得到的,想必早已有人发现,为何最近才有人揭开?难道之前那些高手人即便看到,也都是秘而不宣,这一两年都悄悄用它干了类似“棱镜门”这样的丑事?
斯诺登事件时,有人以为美国NSA可凭借强大计算机暴力破解SSL加密内容,如今看来,他们根本不需要依靠巨型计算机,只要懂得利用SSL里边的漏洞即可……你的支付密码、聊天记录、邮箱信件、银行账户等等在他们面前都不是秘密。
OpenSSL心脏出血漏洞之严重,远不止用户密码泄露,加密证书私钥泄露更加可怕。如果证书泄密,意味着算堵上漏洞,用户修改了密码也无济于事,基于公钥加密的内容一样能被人用偷来的私钥解密……考虑到不少人已有自己的数字证书,保险起见都应该更换,再算上那大批的主机,此次弥补更新的动作如此之大,显然无法再低调遮掩。唯有高调宣扬,才能说服相关人员尽快行动。都到这个时候了,黑客再怎么迟钝,也该明白处处是商机。
斯诺登事件之后不少互联网企业声称加强安全措施,可这次OpenSSL心脏出血漏洞=又扇了它们一巴掌,这也打醒了不少天真以为SSL安全可靠的人,到如今大家明白,开源软件包固有其低成本的优势,可将其用在安全领域,就等于将自家的安防工程图摆在了小偷面前那般讽刺。开源软件缔造出来的“https”并非天衣无缝,它甚至比我们想象中的更脆弱。而一直使用付费SSL程序包的微软等公司则算是有幸躲过一劫。
最后,我们要如何保护账户安全呢?传统加密体系已经超乎意料的脆弱了,到如今不能再单纯依靠一个密码保护。关键服务建议开二次认证,以我为例,支付宝有动态验证码,QQ号是有QQ安全中心、微博是有新浪微盾、Gmail跟微软、Dropbox服务是短信验证,而我的手机就是另一个身份证。手机贴身的,所以平常就不要破解越狱,盗版软件也要远离。虽说安卓系统可能也不安全,可咱无法独善其身,最后也只能靠着大公司维护,曝光这漏洞,谷歌也算有功,它仍值得继续信赖吧。
(暂无人赞)
Loading...