知名的開源(Open Source)加密函式庫OpenSSL為近年最受歡迎並被廣泛應用的套件,能夠針對許多資料傳輸形式進行加密保護,例如即時通訊、網站傳輸和電子郵件來往等等,我們在購買SSL憑證時也需要使用OpenSSL來進行加密簽章。
“誰在淌血 ? ”
3年前的4月8號,OpenSSL發布了重大公告,揭露了一個存在於TLS/DTLS傳輸層Heartbeat功能中的漏洞,這個漏洞易於被攻擊並將導致大量資料從伺服器端或客戶端被竊取走,這個問題並不在於SSL/TLS通訊協定,而是OpenSSL本身的程式錯誤。由於問題發生在Heartbeat(心跳)功能,故程式人員將它取名為Heartbleed(心在淌血),而最早發現這個bug的是由Google的Neel Mehta和Codenomicon的技術人員所組成的研究團隊。
Heartbleed bug已被證實的影響為 :「有心人士可以在系統內取得原本應由OpenSSL加密保護的所有機密資訊,也可以監看(聽)正在傳輸的即時通訊內容。」,更直接地說,這個bug將導致系統裡的任何資料都有可能外洩。
“被忽視的災難,未爆彈就在你我身邊”
密碼學專家Bruce Schneier曾表示,這絕對是個災難性的問題,如果以1~10分來評分的話,他會給11分,也有人說Heartbleed bug造成的威脅等同於網路世界裡的911攻擊,但根據調查,時至今日全球仍有約20萬台伺服器或網路設備仍存在這個漏洞,並以美、亞兩洲為最多,在之中甚至有很多人壓根不曉得自己是資安亮紅燈的高危險份子。
大家一定要注意自己使用中的系統是否安全,千萬不可心存僥倖,世界上因為資安問題爆發導致公司需負擔天價賠償甚至因而倒閉的例子不勝枚舉,這個問題絕不可等閒視之。
圖片來源 : CRM