早前的“心臟出血”漏洞事件的余悸未消，開源的加密工具OpenSSL又被曝出漏洞。昨天記者了解到，OpenSSL發(fā)現(xiàn)一個嚴重漏洞——DROWN漏洞(水牢漏洞)，可能影響部分使用HTTPS的服務(wù)器及網(wǎng)站。慶幸的是，這一次漏洞的危害還達不到“心臟出血”的程度。

全球大量網(wǎng)站受影響

據(jù)介紹，水牢漏洞可以允許攻擊者破壞使用SSLv2協(xié)議進行加密的HTTPS網(wǎng)站，利用該漏洞，攻擊者可以監(jiān)聽加密流量，讀取諸如密碼、信用卡賬號、商業(yè)機密和金融數(shù)據(jù)等加密信息。經(jīng)國外相關(guān)機構(gòu)初步探測識別，目前全球有大約400萬網(wǎng)站和服務(wù)器受此漏洞的影響。360網(wǎng)絡(luò)攻防實驗室經(jīng)初步統(tǒng)計，我國有109725個網(wǎng)站可能受到此漏洞的影響。

HTTPS是一種Web瀏覽器與網(wǎng)站服務(wù)器之間傳遞信息的協(xié)議，該協(xié)議以加密形式發(fā)送通信內(nèi)容。SSLv2實際上是一種版本很老的協(xié)議，OpenSSL已經(jīng)建議禁用。不過，因為尚有不少用戶還在使用低版本的瀏覽器，如IE6，這些瀏覽器只能支持SSLv2，因此一些提供網(wǎng)絡(luò)服務(wù)的企業(yè)還在使用該版本。

事實上，即便是360這樣專門做安全的互聯(lián)網(wǎng)企業(yè)，其部分網(wǎng)站也在使用OpenSSL。不過360公司表示，其在重要的系統(tǒng)中禁止了不安全的加密套件，因此不受“水牢漏洞”影響。

威脅小于“心臟出血”

提起OpenSSL漏洞，讓人印象最深的當(dāng)數(shù)2014年曝出的“心臟出血”(Heartbleed)漏洞。這次的水牢漏洞也讓人擔(dān)心是否又是一次“心臟出血”事件。

360公司安全專家安楊表示，“水牢漏洞”所帶來的危害沒有當(dāng)年“心臟出血”嚴重。與“心臟出血”直接攻破資料存儲的服務(wù)器不同，“水牢漏洞”需要黑客與被攻擊者在同一個局域網(wǎng)下，例如入侵對方所處的WiFi網(wǎng)絡(luò)，或者和對方在一個公司等，這樣才能獲取到對方的流量信息。

另外，“水牢漏洞”利用難度較高，需要租用計算集群并花費8個小時才能破解密鑰。而租用計算集群的成本在400美元左右。在這樣的成本下，無目的地攻擊普通個人用戶，很可能會得不償失。

慶幸的是，在該漏洞被公開之后，OpenSSL已經(jīng)發(fā)布了官方補丁，只要及時更新就可以封堵該漏洞。

安全網(wǎng)新聞加點料：

“心臟出血”事件

SSL協(xié)議是使用最為普遍的網(wǎng)站加密技術(shù)，而OpenSSL則是開源的SSL套件，全世界網(wǎng)站服務(wù)器中有三分之二都是用OpenSSL的軟件。URL中使用https打頭的鏈接都采用了SSL加密技術(shù)。在線購物、網(wǎng)銀等活動均采用SSL技術(shù)來防止竊密及避免中間人攻擊。

2014年4月，OpenSSL一個重大漏洞被曝出，因為危害極大，因此該漏洞被稱為“Heartbleed”(心臟出血)，以形容其所帶來的致命危險。

該漏洞讓特定版本的openSSL成為無需鑰匙即可開啟的“廢鎖”，入侵者每次可以翻檢戶主的64K信息，只要有足夠的耐心和時間，就可以翻檢足夠多的數(shù)據(jù)，拼湊出用戶名、密碼和信用卡號等隱私信息。

更為重要的是，全球大多數(shù)網(wǎng)站都面臨這一漏洞的威脅。在“心臟出血”漏洞被曝出后的一段時間內(nèi)，這就是全球互聯(lián)網(wǎng)行業(yè)內(nèi)最大的事件，很多互聯(lián)網(wǎng)企業(yè)都在忙著修補漏洞，用戶則忙著修改自己的各種密碼。

延伸閱讀：警惕！瑞星截獲新型惡性病毒“幽靈電子書”

更多網(wǎng)絡(luò)信息安全相關(guān)訊息，請繼續(xù)關(guān)注佰佰安全網(wǎng)。