網上傳輸加密 SSL/TLS 發現重大漏洞,研究人員以「Heartbleed」(心漏) 命名這次發現的漏洞。這漏洞令不法分子可以輕易破解已加密的內容,這樣一來企業及個人資料便可垂手可得。
SSL/TLS 一直以來都是網絡安全的重要基石。我們瀏覽一般網站時,數據經由伺服器傳輸到用戶電腦,而過程中會經過很多節點,在每一個節點中都有機會被偷取數據封包;由於傳輸過程沒有加密,因此黑客非常容易便可取得這些資訊。而 SSL/TSL 的作用就是在數據傳輸期間通過軟件或硬件運算方式將其加密,即使數據封包被截取,竊取者只能得到一堆沒意義的亂碼,而數據在到達用戶電腦時會用預先協定的鑰匙解密,使資料在網絡上安全傳輸。
現時,SSL 應用十分廣泛,例如企業日常通訊的 Email、Instant Messenger,網站傳輸過程,虛擬私人網絡 (SSL VPN)、雲端應用、儲存服務等,當然亦有一些對保安要求較低的網站並未使用 SSL 進行加密。
出現 Heartbleed 漏洞的 OpenSSL 軟件是很多企業網站都採用的方案,漏洞令已加密的資訊可在一般情況下輕易破解。任何人都可以利用 OpenSSL 這漏洞讀取加密系統的記憶資料,令帳戶密碼、企業計劃、產品資料這些有價值的資訊加密形同虛設。
可能大家都會估計到 SSL 被破解後,作為識別的密鑰可以輕易被盜用﹐而這當然亦能引致重大風險。黑客最直接的做法就是將一些合法網站進行複製(製作釣魚網站),而且黑客更可同時將 SSL 密匙複製並透過 Linux/Windows 平台製作出幾近真實的 SSL 憑證(瀏覽器都誤以為真的憑證),這樣便可以製作出與真實無異的網上服務,藉以騙取更多資料。
企業及個人都必須關注 Heartbleed 問題,因為網上理財、購物、電郵這些日常工具都靠 SSL 確保資訊安全。研究人員以黑客角度對自己的網站進行攻擊,結果是無須取得任何系統權限及認證密碼便可取得網站加密鎖匙,即是說所有資訊對黑客來說如探囊取物。為了提高警覺,在網站瀏覽重要資料時,除了確認網站採用了 https 傳輸協議之外,更可用以下工具辨識網站的 SSL 是否被破解。
