趋势网(微博)讯:本周,一个代号为“Heartbleed”的漏洞曝光引起了人们的恐慌,这种编码错误在无意中就会对多个大型网站的在线服务的安全造成威胁。该漏洞的揭露震惊中外,并且媒体跟进报道,Heartbleed引起的恐慌似乎有增无减。这一令人遗憾的结果其实是许多谣传的消息造成的。
乐意跟我一起揭秘这些谣传么?以下是我在这周内听说到的一些有趣的事情,我将会详细解释为什么他们并非是谣传的这样。
·女子遭老板性侵后被公司开除 ·被同学抱摔艺考女生本有望进全省前三 ·夫妻玩闹时妻子黄体破裂 ·男子举报中学副校长出 轨自己 ·女子目睹母亲车祸受惊吓5天后身亡
谣传1:Heartbleed是一种病毒
这种OpenSSL代码库的缺陷并不是病毒,而是一种漏洞,是一种简单的编码错误,它存在于被多数互联网和其他服务器使用的开源加密协议中。
当OpenSSL代码库运转正常时,它可以确保网络通信不受监 听(某个网站可能正在使用OpenSSL密码库的暗示就是该网站会加密HTTP,使之变成HTTPS,尽管其它形式的安全协议也有这种功能)。
因此,可以确定Heartbleed是个被无意中开放的漏洞,使得不法分子可以监控通信或登录的脚本,并且盗取机密数据和档案。
谣传2:该漏洞仅仅对互联网有影响
服务器和路由器的潜在安全隐患使得大量的数据泄露,这成为现在亟需解决的大问题。此外,互联网,在线服务和网络服务器有成为除了lion系统之外被攻击的趋势,但是他们并不是唯一的潜在目标。
用户们受到所谓的“反向Heartbleed”的影响,正处于风险之中,他们在使用手机,笔记本电脑和其他的一些设备时,经常跳转连接到其他的网站。
“通常对于用户来说,内存仅仅被分配到正在运行的程序中。因此,我们不必要进入所有的程序,但是仍然可能泄露邮件,文档和登录的信息。”DavidChartier在ReadWrite上如是说到。DavidChartier是芬兰的一家安全公司科诺康的CEO,这家公司协助发现了Heartbleed漏洞。
对于智能家居的用户而言,未经授权的账户和系统可以设置权限这个想法让人特别恐慌。为此,我特别联系到了几家新兴的公司,SmartThings,Revolv,Zonoff(为StaplesConnect智能家居平台提供动力的一家公司)以及iControl (向TimeWarnerCable,ADT,Comcast,Cox,Rogers和其它公司提供技术支持的一家公司)。
SmartThings和Revolv通过把他们的软件更新到最新版本的OpenSSL来修补漏洞。而iControl返回汇报道,他们并不使用OpenSSL。在这个关键时刻,Zonoff却不做任何评论。
(更新报道:Zonoff同样使用OpenSSL,但是该公司确认已经将受影响的服务器更新到最新的版本,完成了漏洞的修补)
谣传3:黑客可以利用该漏洞远程控制用户手机
目前的种种迹象表明,黑客并不能利用Heartbleed直接入侵并控制用户的智能手机。并且,有风险的是存储在手机内存中的数据,至少对那些没有更新最新版本的OpenSSL的设备是这样。
即使黑客可以通过Heartbleed直接入侵用户的手机,iPhones和大多数的安卓系统对其是有防御功能的。当然,安卓4.1.1除外。然而,谷歌却坚持认为修复Heartbleed的补丁可以覆盖所有的手机操作系统。
总的来说,大部分iOS和安卓系统没有受到影响让人大大的松了一口气,特别是从其他方面考虑最近iOS系统的安全问题。
当然,这些手机上运行的应用程序又是另一回事儿。黑莓承认,iOS和安卓版的BBM容易受到Heartbleed的影响。入侵者们依然不能进入手机内存之中,但是他们有可能监 听程序中没有加密的通话。(更新报道:黑莓称已经有更新版的BBM解决Heartbleed的入侵问题)
谣传4:由于微软抛弃了他们,XP系统的用户会陷入大麻烦
这个消息完全不能当真。当然,这个时机不太对。因为微软宣称不再支持XP用户是在Heartbleed漏洞开始席卷各地的当口。但是,微软不使用OpenSSL为XP更新补丁和修复也是一个不争的事实。
这个消息对于仍然在使用已经14周岁的XP操作系统的用户而言无疑是个重磅炸弹,这些用户占目前运行桌面用户的四分之一多。如果Heartbleed漏洞对其有影响,由于微软停止补丁和漏洞的更新,他们就会无法脱困。
使用XP系统的用户,事实上,所有的Windows的用户都会获得微软公司自己加密的安全信道(akaSChannel),并且它不受这种特殊的漏洞影响。然而,值得注意的是,XP用户虽然可以使用SChannel,却也依旧不能获得微软的进一步关于SChannel软件的支持或更新。
而使用微软Linux系统的云计算平台WindowsAzure用户们不包括在内。该平台包含的分布式应用依赖于OpenSSL,因此微软鼓励这些用户主动联系分布供应商以获取更新的软件。至于苹果电脑的OSX操作系统,苹果公司官方声明并不受Heartbleed的影响。
谣传5:所有的银行系统都对Heartbleed门户大开
这次的安全漏洞事件形势是比较严峻的,但是它并不能撬开我们顶级银行的虚拟金库。事实上,主要的银行都不会受到该漏洞的影响。AmericanBanker,一家研究银行技术的新兴网站如是报道。
以下这些银行已经发表声明,他们没有使用OpenSSL协议,所以他们的网站以及服务器并不存在风险:
美国银行
美国第一资本金融公司
摩根大通银行
花旗集团
道明银行
美国合众银行
美国富国银行
PNC金融服务集团
当然,除了这些银行之外,还有更多的银行也没有受到波及。这也是为什么联邦金融机构检查委员会催促金融机构将漏洞补丁应用于使用OpenSSL及其更新的系统的服务系统,应用和电器设备之中,以便尽可能快的解决这个漏洞。
此外,CNET对高交易量网站的测试说明PayPal并不受Heartbleed的影响。以下一些存储用户的借记卡和信用 卡信息的主要零售商也未被入侵:
亚马逊
易贝支付
高朋
塔吉特百货
到到网
沃尔玛
(看起来塔吉特百货从它去年的重大安全隐患中吸取到了教训)
因此,Heartbleed这个代码故障并没有让主要的银行和零售商们门户大开,最起码它造成的影响并不是直接的。然而,并不能因为这些网站和账户没有遭受黑客的入侵就说数据是完全安全的(请看下一条)。
谣传6:我所访问的网站或服务器没有受到影响,或是已安装补丁,那我就高枕无忧了
并不完全是这样。Heartbleed由于不会留下任何痕迹而很隐蔽,这就意味着没有方法可以辨别你的个人信息是在网站被修复之前还是之后被盗的。
至于那些一开始就不受影响的网站,如果登陆信息被存储或者被传送到其他信息泄露的网站,你的账户信息还是存在风险。
简单说来:你可以修改除了那些被影响而且目前没有得到修复的网站之外其它网站或服务器的密码。但是确保一旦存在漏洞的网站更新了软件,就立刻修改密码。你也可以检查你的信用账户账单和网上其它活动,确保没有未经授权的登录出现。
谣传7:NSA长期利用Heartbleed来监视我们
据一些未具名的消息来源,Bloomberg指责NSA很早就发现了Heartbleed这个程序失误,但是一直保持沉默。但是,这并不是全部的事实。据报道,NSA不仅仅清楚的知道这个失误,还在长达两年的时间里,开发利用该漏洞监视美国公民。
据PRISM揭露,这一切太简单而让人不能相信。甚至对于之前Bloomberg的指责,很多人怀疑NSA是知情的,并且Twitter上涌现大量的推文质疑NSA。现在整个网络上都盛传“NSA的确是牵涉其中的”。
但是NSA很直接的否认了。该机构声称没有利用这个安全漏洞,事实上,它宣称在这个漏洞被确认之前,对此毫不知情。
我们没有办法确定NSA是否坦诚,该结构的信誉度并不是一直都很好。但是,也没有强有力的证据证明它确实利用Heartbleed来监视我们。因此,目前为止,这也只是位于人们的猜测谣传一列。
很难想象有任何权威的联邦机构对影响范围如此之大的安全隐患不知情。但是,这也不是完全不可能,只要问一问加拿大的国税局就知道了。这家政府机构,也使用OpenSSL,但是由于发现其处于Heartbleed的影响之下,不得不暂时关闭部分网站。这恰巧就发生在报税期限的前几周。
你有听说任何关于Heartbleed的谣传或谎言么?记录下来,我们可以共同揭秘他们!