简而言之,我们的电子邮件,IM,facebook等正处于风险之中,因此请在这几天内尽量减少访问。特别是,我们应该尽量避免登录到我们的网上银行,因为我们可能会公开用户名和密码。同样,稍后服务提供商修复该错误时,我们最好为所有对我们重要的Web帐户更改一个新密码。
这是技术说明。
您可能之前注意到,许多网站都使用以“ https”开头的URL。例如,https://www.google.com.sg。HTTPS的字面意思是安全的HTTP,因为“ s”代表安全。HTTP和HTTPS都是用于标准化在网络中传输数据的方式的协议。只是HTTPS表示我们的浏览器在屏幕后面运行了额外的加密过程,因此我们的数据得到了更好的保护。现在,我将向您展示加密过程的工作原理以及该漏洞对我们的伤害。
Heartbleed Bug被认为是Internet世界中的核弹,因为它可能会影响我们所知道的许多巨头,例如Yahoo,Google,Amazon,并且它可能暴露最关键的信息-私钥。
让我们用一个虚构的故事来说明这个想法。
一家名为“ * bay”的公司首先生成两个不同的密钥对,即私钥和公钥。私钥应作为秘密保存,只有* bay知道。公钥将分发给可能需要与* bay通信的人员。然后* bay向称为证书颁发机构的第三方注册,后者可以验证* bay是一家成熟的公司,并且其公钥可以被信任。(通常,我们的计算机系统已经知道一些CA,有时我们可以自己手动将CA添加到列表中。)经过验证,CA会颁发证书,其中包含有关* bay和ebay的公钥的一些信息。
当* bay向我们发送此证书时,基于我们已经知道的CA的保证,我们可以知道公钥实际上来自* bay。然后,我们使用此公共密钥对提交给* bay的数据进行加密,并且* bay可以使用其私钥进行解密。(实际上,公钥/私钥对消耗过多的带宽和计算能力。* bay和我们之间共享一个较短长度的密钥,称为会话密钥,该会话密钥用于加密/解密我们的数据,而公共/专用密钥加密/解密会话密钥。)此外,当* bay与我们交谈时,* bay的专用密钥会生成数字签名。就像物理签名一样,它会验证* bay的身份,并使来自* bay的数据不可否认(这意味着* bay无法否认其说法)。
BUG允许攻击者非法检索服务器内存中的某些随机部分,他们可以查看* bay的私钥和用户信息(如果运气不好,也可以查看垃圾)。只要私钥遭到破坏,攻击者不仅会看到当前公开的数据,还可以解密过去捕获的任何数据。
大多数流行的Linux企业版本都随OpenSSL库一起提供,Linux在Internet公司甚至某些高端场所(银行,金融机构和高性能计算机中心)中得到了广泛使用。因此可以肯定地说,由于此错误而导致的潜在风险很高。
目前,我们只能静静地等待服务提供商修复此错误。在他们重新分发新的证书和会话密钥之后,我们可能也想更新我们的帐户密码。