一個代碼上的失誤導(dǎo)致大量在線服務(wù)商出現(xiàn)安全問題,人們也因為“心臟出血”而處于緊張狀態(tài)。上周,這場危機震驚了世界。并且許多新的報告帶給人們的僅僅是更多的恐慌。許多錯誤的信息正在彌漫。讓我們來上一堂真相課,看看哪些說法是錯的。
謠傳1:“心臟出血”是一個病毒
OpenSSL bug不是一個病毒。他是一個缺陷,一個被許多網(wǎng)站和服務(wù)器使用的開源加密協(xié)議上的一個純粹的代碼錯誤。
當(dāng)它工作的時候,OpenSSL確保在網(wǎng)絡(luò)通信的時候防止被竊聽。(在網(wǎng)址前有一個“HTTPS”,這個特別的“s”-確保了安全的形式的通信)。
因此,“心臟出血”是一個bug,一個被意外揭開的安全漏洞,這使得其他人能監(jiān)視網(wǎng)絡(luò)通信和登陸事件,同樣也能竊取可信數(shù)據(jù)和其他記錄。
謠傳2:這個Bug僅影響網(wǎng)站
對于服務(wù)器和路由器都潛在著巨大的安全影響,這允許大量數(shù)據(jù)被泄露。同樣地,網(wǎng)站,在線服務(wù)器以及網(wǎng)絡(luò)服務(wù)器都存在風(fēng)險,但是那只是潛在的目標。
當(dāng)客戶端是你的手機,筆記本,其他設(shè)備等連接網(wǎng)絡(luò)的時候,風(fēng)險就存在了,且增長很快,這被叫做“心臟出血的逆轉(zhuǎn)”。這意味著被存儲在這些設(shè)備上的信息將能夠被竊取。
“客戶端內(nèi)存僅在進程運行的時候被分配內(nèi)存,因此,就不可能獲取所有進程的訪問權(quán),但是,你的E-mail內(nèi)容文本,文檔和登陸密碼還有有可能被竊取,”Codenomicon—the Finnish 公司的CEO David Chartier說。
未經(jīng)授權(quán)的賬戶以及那些系統(tǒng)設(shè)定的訪問對于智能家居尤其令人不安。類似于SmartThings和Revolv公司生產(chǎn)的智能設(shè)備,同樣 Zonoff公司的powering Staples Connect智能家居系統(tǒng)和iControl,還有Warner Cable, ADT, Comcast, Cox, Rogers等等。
SmartThings 和Revolv已經(jīng)在為他們的軟件打補丁。iControl明確告訴我們沒有使用OpenSSL。到發(fā)稿為止,Zonoff沒有發(fā)表什么評論。
(更新說明:Zonoff 一直在使用OpenSSL,但是公司明確告訴ReadWrite,他們已經(jīng)有效地更新了服務(wù)器,從而修補了漏洞。)
謠傳3:黑客能利用“心臟出血”遠程控制你的手機
迄今為止,黑客沒有渠道直接通過使用“心臟出血”控制你的智能手機。再次聲明,現(xiàn)在比較危險的是存在內(nèi)存中數(shù)據(jù),因為這些設(shè)備在短期內(nèi)不能打補丁。在Android 4.1.1中,谷歌將會為其打上補丁。而近期,IOS也把安全問題列在了首位,這些如果都可能的話,IPhone和Android對“心臟出血”將是免疫的。
當(dāng)然,這些手機上的應(yīng)用可能又是另一回事了。黑莓認為,在IOS和Android上的BBM是易受攻擊的。但是,攻擊者還是不能進入他的內(nèi)存并且使用它,但是他們可以監(jiān)聽到你正在進行中的聊天。(更新說明:黑莓說BBM已經(jīng)更新了。)
謠傳4:Windows XP的用戶厄運難逃,因為微軟已經(jīng)放棄它了
完全錯誤。的確,這個時間點真是不太好。微軟說,“心臟出血”在全國各地引起恐慌的時候,他們已經(jīng)不再提供XP了。但是微軟沒有使用OpenSSL這項技術(shù)。
這對于這個擁有14年歷史的操作系統(tǒng)來說確實是一個大新聞,截至發(fā)稿,仍然有超過四分之一的電腦在使用XP。如果因為這個影響到他們,他們已經(jīng)被困在“心臟出血”中了,他們已經(jīng)沒有希望得到更新了。
事實上所有的Windows用戶,取得被叫做安全通道(Secure Channel (aka SChannel))的安全組件,就不會受到影響。但是,值得注意的是,XP用戶將不會自動得到更新的軟件或者SChannel更新了。
在微軟云服務(wù)Windows Azure上運行Linux的用戶也被排除在外,這些發(fā)行版依賴OpenSSL,因此微軟催促這些用戶聯(lián)系這些發(fā)行版的提供者為他們更新軟件。對于Mac OS X來說,蘋果官方宣布“心臟出血”對其沒有影響。
謠傳5: 因為“心臟出血”我們所有的銀行都會被撬開
安全問題是嚴重的,但是它不能撬開虛擬金庫。實際上,美國的銀行業(yè)的技術(shù)負責(zé)人們報告銀行基本上不受影響。
這些公司宣稱他們不使用OpenSSL,因此他們也不存在風(fēng)險:Bank of America
Capital One Financial,JPMorgan Chase,Citigroup,TD Bank,U.S. Bancorp,Wells Fargo,PNC Financial Services Group。
當(dāng)然,有許多的銀行和信用機構(gòu)沒有在上面的名單中,這也就是為什么聯(lián)邦金融調(diào)查委員會(Federal Financial Institutions Examination Council (FFIEC))催促“金融機構(gòu)應(yīng)該盡快給他們使用OpenSSL的服務(wù)器,系統(tǒng)及其應(yīng)用打補丁,以應(yīng)對所帶來的風(fēng)險”。
此外,CNET的對一些高授權(quán)網(wǎng)站的調(diào)查顯示PayPal沒有受到“心臟出血”的影響,還有那些大型零售商,人們將自己的借記卡或信用卡信息存在那兒也不會收到多大影響。比如:Amazon.com,eBay,Groupon,Target,TripAdvisor,Walmart。
(看起來,他們從去年年底的巨大的安全漏洞中學(xué)到了很多。)
“心臟出血”缺陷不能用來直接撬開銀行或者獲取大型零售商系統(tǒng)上的信息,然而,不能因為這些站點和賬戶沒有受患于這些黑客,就認為他們完全沒有風(fēng)險。
謠傳6:我的站點或服務(wù)器沒有風(fēng)險或者打了補丁,我現(xiàn)在就是安全的。
這樣說是不確切的。“心臟出血”是隱伏的且不留痕跡的。這意味著沒有辦法告訴你,你的信息已經(jīng)被偷。所以仍然存在風(fēng)險。如果你的登錄信息被存儲或者被發(fā)送到其他地方,這就是一個缺口。這里歸結(jié)了幾個方法:你最好去那些受到影響的網(wǎng)站修改你的密碼,但是要在他們打完補丁之后。除此之外,要確保在他們升級完程序之后,你最好檢查你的信用卡,賬戶狀態(tài)以及線上行為記錄沒有出現(xiàn)非官方的條目。
謠傳7:NSA用“心臟出血”竊取我們的信息
引述未具名消息人士,彭博社(Bloomberg)指責(zé)國家安全局(National Security Agency)早已知曉“心臟出血”卻沒有公布。但是,這不是全部。NSA不是簡單的意識到這個bug,還涉嫌利用這個漏洞長達兩年的時間。
鑒于“棱鏡項目”,這很容易就被相信了。甚至在彭博社指責(zé)之前,NSA就高度被懷疑。那個時候,微博上就有大量質(zhì)疑聲。就好像齊聲在說“NSA肯定涉及了此事”。
但是NSA斷然否認了此事。該機構(gòu)說他們沒有這樣做,而且宣布對于這一漏洞是之前就存在是完全不知曉的。
沒有辦法知道NSA是否誠實,而且該機構(gòu)的的可信度確實不高。但是,也沒有證據(jù)說他們利用“心臟出血”去監(jiān)視。因此,就目前而言,這個謠言是站不住腳的。
很難想象任何聯(lián)邦的官方機構(gòu)沒有意識到這么嚴重的安全漏洞。但是,這也并不是沒有可能。就拿加拿大稅務(wù)局(Canada Revenue Agency)來說,這個政府機構(gòu)一直使用OpenSSL,現(xiàn)在他們已經(jīng)臨時關(guān)閉了他們的部分網(wǎng)站服務(wù)器。而下周就是加拿大報稅的截止日期。
你還聽說了哪些關(guān)于“心臟出血”的謠傳,讓我們來一一揭穿他吧。