互联网安全问题严峻 Openssl 再爆重大漏洞

    今年4月OpenSSL被爆出互联网迄今为止极其严重的安全漏洞“Heartbleed”,这个被形象翻译成“心脏出血”的协议漏洞,黑客们只要稍加利用就可以轻而易举的获取Https网址开头的账号及密码,由于Https安全协议的使用范围非常广泛,此漏洞波及网上银行、网络支付、知名购物网站、电子邮件等多种涉及到个人账户和密码的服务。漏洞爆出后,各大网站都及时完成漏洞修补更新,才没造成大规模的账号密码被盗事件。

    一波未平一波又起,两个月后的今天,OpenSSL又被爆出另一项重大漏洞,而且据相关技术人员表明此漏洞已经潜伏十六年之久!OpenSSL基金会最近也公开发布了一项重大建议性公告,建议所有使用OpenSSL协议的用户再次对此协议进行全面升级,来修复一项从前一直未被发现的漏洞。据悉,黑客利用这次的漏洞可以窃取任何加密层数据。OpenSSL基金会表现的高度紧张,在被爆出漏洞后便立即发布了补丁,以便减少此漏洞带来的危害。

    这次的漏洞和“心脏出血”不一样,“Heartbleed”可以使任何人直接攻击任何使用OpenSSL协议的服务器,而使用这次漏洞的黑客则必须位于两台相互联系的设备之间。虽然如此,但是该漏洞同样是个巨大的隐患。比如我们在公共场合使用公共网络的时候,就非常容易中招。特别是一些使用安卓设备的用户得注意了。由于本漏洞还有另一个局限性,需要两台连接的设备都在使用OpenSSL协议。安卓设备和大部分的虚拟专用网使用的正是OpenSSL协议。    

    号称世界安防技术之最的美国国家安全局也被自家的技术分析员斯诺登爆出“棱镜门”事件,而“棱镜门”事件一周年之际又被发现潜伏十几年的安全漏洞,这对互联网安全领域来说绝对是一个别样意味的讽刺。连OpenSSL这种历史悠久、技术顶尖、使用广泛的协议都会存在这种最基本的漏洞,而且只有极少数的技术人员在十余年的时间内才偶然发些这些漏洞,在这个互联网飞速发展的今天不得不引人深思啊!