檢索: 帳戶 密碼
文匯網首頁 | 檢索 | 加入最愛 | 本報PDF版 | | 簡體 
2014年4月10日 星期四
 您的位置: 文匯首頁 >> 要聞 >> 正文
【打印】 【投稿】 【推薦】 【關閉】

OpenSSL大漏洞 加密不密 網絡「出血」


很多網站會採用加密技術,保障資料能安全和保密傳送,其中最常見是OpenSSL,估計全球近六成網站使用,包括Google、雅虎、亞馬遜和facebook(fb)等。網絡安全研究團隊近日發現,OpenSSL有一個潛伏長達兩年的重大安全漏洞,可能讓黑客取得用戶密碼和信用卡等敏感資料,甚至冒充用戶或網站進行詐騙,暫未知有否因此造成實質損失。

為防敏感資料在網絡傳送時外洩,網站會進行SSL/TLS加密。用戶在瀏覽網站時,有時會發現瀏覽器中的網址旁出現掛鎖圖標,便代表網站採用了加密協議。其中OpenSSL屬免費開源軟件,故被廣泛採用。據一名前美國國防部顧問透露,美國國防部和國土安全部都使用OpenSSL。

任何人可讀密鑰帳號密碼

這個安全漏洞由Google及網絡保安企業Codenomicon發現,研究員把它命名為「Heartbleed」(心臟出血)。漏洞容許網絡上任何人讀取由OpenSSL保護的系統記憶體,並有機會從中取得供應商的加密協議密鑰,或是用戶帳號密碼等資料。利用這些資料,黑客可進一步讀取伺服器紀錄和監控未來通訊,或偽冒個別網站及使用者身分。

研究員指,曾透過Heartbleed成功從外部入侵自己設立的網站,並在不留痕跡下取得密鑰、用戶帳號、即時通訊、電郵及公司文件等重要資料。由於漏洞已存在兩年,研究團隊難以估計是否已有人藉此進行黑客攻擊。監察網站代碼的Netcraft則表示,估計全球逾50萬個「可信任網站」或受影響。

OpenSSL前日已推出更新修補漏洞,呼籲所有相關網站盡快更新。Google、雅虎和亞馬遜等稱已在消息傳出前修補漏洞。網絡安全公司Cloudflare總裁普林斯表示,事件十分嚴重,最壞情況是黑客已取得核心加密密鑰,意味企業可能要全面更換密碼。

專家:修補漏洞前改密碼無用

電腦專家指,由於牽涉範圍廣泛,呼籲用戶盡快更改帳戶密碼。但有意見認為,除非網站完成更新修補漏洞,否則只是改密碼並沒意義。提供網絡匿名服務的Tor Project總裁丁格爾丁表示:「對於那些重視匿名或私隱的用戶,未來幾天或最好完全不上網,直至事情解決為止。」 ■美聯社/法新社/路透社/英國《金融時報》/《華爾街日報》

相關新聞
國基會:樓價臨大調整 港宜適時撤招 (圖)
梁振英:調控初見效 續覓地增供應 (圖)
各界批反對派引「台獨」禍港 (圖)
外交部斥美干涉港政改「全錯」
特首:中央立會互動 邁小步盼不停步 (圖)
創科擬「開局」 業內人士掌舵 (圖)
習近平:中美不衝突不對抗 (圖)
習近平為反恐特警授旗:嚴打暴恐保民安 (圖)
瓊建免稅城 規模冠全球 (圖)
崔天凱:反對搞「亞洲版北約」 (圖)
李克強晤三國總理 心繫馬航搜尋 (圖)
財爺籲反對派:民為重勿拉布 (圖)
居穗老婦染H7N9返港隔離
中俄5月料簽東線輸氣合同 (圖)
澳再測到信號 搜尋範圍縮窄 (圖)
東莞市長:沒想到黃業那麼厲害 (圖)
愛爾蘭總統歷史性訪英 (圖)
OpenSSL大漏洞 加密不密 網絡「出血」
【打印】 【投稿】 【推薦】 【上一條】 【回頁頂】 【下一條】 【關閉】
要聞

點擊排行榜

更多 

新聞專題

更多