趋势网(微博)讯:最近,“Heartbleed”(“心脏流血”)安全漏洞的发现揭露了这一事实:安全软件中存在着不断扩大的缺陷。而我们在网上购物、理财,收发邮件时所使用的一系列个人信息却都是要靠这些安全软件来保密的。虽然现在还没有发现由于Heartbleed漏洞所导致的窃听和盗取个人金融和身份信息的事件——但这也许不过是个时间上的问题。
好消息是面对这些可能的对私人信息的盗窃和窥探,我们仍有御敌之道。坏消息是反击的方法虽然很简单但实施起来却并不容易。
为什么Heartbleed不容小觑
首先是一些快速的背景介绍:OpenSSL的Heartbleed漏洞使得潜藏着的袭击者可以避开密码保护,而这些确保网络数据交流私密性的密码保护却都是基于OpenSSL提供的算法和协议而实现的。说白了,这个漏洞让袭击者可以从网络服务器上随机获得数据——包括用户名和密码、防流量窥探的密钥,甚至是网站进行身份验证的加密数字证书。
最坏的情况是,信息的泄露让袭击者能够读取所有进入和流出该网站的流量,最终袭击者甚至可以自己模拟这个网站——这是非常糟糕的,特别是如果他所恶意模仿的一个网站正好是你的网上银行。
Heartbleed漏洞在过去两年一直没有被发现,而且也没有人知道在这期间是否有人发现了这个漏洞并利用其做了什么事情。现在这个漏洞终于浮出水面,超过五十万个可信任网站都出现了这个问题——这些网站中包括很多人们日常用到的,比如虽然饱受诟病但仍被普遍使用的雅虎邮箱——为了保护用户信息,这些网站都在忙着修补这个漏洞并更新他们的安全协议。
但这不过是个初步措施而已。因为我们很难确定是否有人利用了这个漏洞,在你被危害之前你很难发现什么问题,但当问题发生后一切又都太晚了。更糟糕的是,如果有一个袭击者两年以来一直都在记录你所访问的某个网站的所有加密了的流量,那么他现在也许就可以逆向地破解那些信息。我们仍对Heartbleed充满了疑问,其可能的未来的后果也是一片未知,正因如此身兼网络安全专家和密码破译老手的布鲁斯·施奈尔(Bruce Schneier)用“毁灭性的”一词形容这个漏洞,并且说“如果用一到十来评级的话,它就是11级。”
对于公司而言,修补这个漏洞也不容易。受感染的网站先要为这个OpenSSL漏洞打补丁,然后注销现有的数字证书并重新发布一个。之后管理员要仔细检查整个系统,看看会不会还有其他防御薄弱的部分。
作为个人应该做的
作为一名普通用户,请参照以下基本检查清单行事:
首先检查你经常会用到的网站是否在Heartbleed面前不堪一击。
更改你在这个网站的登陆密码。
跟进那些网站的状况,看看他们是否为漏洞打了补丁并重新发布了数字证书。
在发现他们打了补丁或是发布了新证书之后再次更改密码。
还记得我所说的“反击的方法虽然很简单但实施起来却并不容易”吗?现在我就要详细地讨论一下这个问题。
检查网站风险状况
如果不确定自己在这个网站的个人数据是否安全的话,就点击这个链接(http://filippo.io/Heartbleed/)做一下Heartbleed测试,这是由一位意大利程序员菲利波·瓦尔索达(FilippoValsorda)设计的检测工具,可以检测一个网站是否被Heartbleed感染。如果已被感染,那么不管该网站有没有打漏洞补丁都先改一下密码。虽然不能完全保护你的数据,因为你的新密码仍有可能被窃取,但至少可以减缓那个可能存在的数据大盗的脚步。
此外,你还可以在Qualys(//www.ssllabs.com/ssltest/ )上做更加高端的SSL(安全套接层协议)服务器测试。Qualys提供了更加深入的对网站安全加密配置的分析并为网站的安保实力打出评分。相比于瓦尔索达先生提供的应急性测试,Qualys的分析结果也许可以让你更放心一些。
美国科技资讯网(CNET,美国旧金山一家集中报道科技 新闻 的媒体公司)发布了一份名单,列出了受到Heartbleed影响的百大网站。在线密码管理器LastPass同样发布了一个简单的Heartbleed检查插件,它不仅能在发现某网站使用的是OpenSSL时通知你,还会在新的SSL证书生成后做出提醒,并且让你了解到该公司为了保护用户信息正在做些什么。
如果你用的是谷歌Chrome浏览器,你还可以安装这个名为“Chromebleed”的扩展应用(//chrome.google.com/webstore/detail/chromebleed/eeoekjnjgppnaegdjbcafdggilajhpic) 。安装后,它会在你浏览被Heartbleed感染的网站是发出警告。
改密码
专业意见:立刻更改密码,之后,在受感染网站确认安全后再次更改密码。你可以用以上提到的检测工具手动检查这个网站是否安全,或者在你收到该公司发来的“确认安全”的邮件后你可以认为这个网站安全了。我个人建议还是自己亲自做检测比较好。
星期三时我收到一封来自IFTTT(一个极富效率的工具,简化了分享的过程,你在一个网站的操作将同时在其他串联网站同时进行)的邮件——他们告诉我IFTTT上的Heartbleed漏洞已经修复了,并告诉我不仅要更改网站的登陆密码,在其他储存了安全信息的地方也要更改密码。一般来说大多数网站被Heartbleed感染了的公司都会给用户发送类似的邮件。
保持随时检查
直到所有你经常访问的网站都打了漏洞补丁并发布了新的数字证书,你的网络安全保卫战才算结束。毫无疑问保持随时跟进是件让人头疼的事。如果你不介意担一点风险的话你也可以不立即更改密码——但与此同时会不会有心怀叵测之徒在窥探你的信息这就不能保证了。
亲自做安全检查
(在经历了Heartbleed带来的恐慌后),现在正是时候做一个网络安全的大扫除了。很不幸竟然是一个危险的漏洞让我们意识到这样的事实:我们的数据并不像我们所想的那样安全。此外,Heartbleed的肆虐还促使我们重新思考现有的安保措施。
所以,花点时间确认一下自己的用户名和密码是安全的吧,并且确认一下没有什么厄运降临到了自己的账户头上。
类似于LastPass的密码管理器可以帮助用户确保可靠的密保措施。密码管理器可以为所有你喜欢的网站生成并保存密码,只需登录一次就能进入所有的网站。(LastPass自己也被Heartbleed感染了,但它声明用户数据并没有泄露的风险因为LastPass没有获取所储存的加密信息的权限。)
在所有被感染的网站都打了漏洞补丁后要随时登录那些受影响的账户,确保网站上所有的更新、会话和记名购物其执行人都是你本人。这是一个应该养成的好习惯,即使是对于那些理论上安全的网站来说。
更新:本文更新了关于Chrome浏览器扩展应用Chromebleed的相关信息。
导图:来自Flickr网,用户“Sarah”的相册
Heartbleed图标:来自Heartbleed.com
作者:Selena Larson