网络加密技术漏洞威胁用户密码安全

我们在互联网的一个关键安全路径上发现了一个漏洞，该漏洞可能会迫使大量网站为保护用户安全而做出改变。

　　上周，由芬兰安全专家和谷歌（Google）研究人员组成的一个团队首先发现了这个问题，并于周一公布了这个问题。截至周二下午，雅虎（Yahoo）、、谷歌（Google）和亚马逊网络服务（Amazon Web Services）等一系列大型网站都已表示自己正在处理这个问题，或称漏洞已经得到修复。

　　研究人员仍在分析这个漏洞对用户的影响，但已警告称，影响可能会很大。用户敏感的信息--比如密码、储存的文档、银行资料乃至社会安全号码--都可能会因这个漏洞而遭到泄露。

　　安全专家给用户的直接建议就是等待，至少要保持警惕，不要轻易修改密码。如果在尚未修复的网站上修改密码，就有可能把新密码泄露给。所以他们建议用户先看看网站是否已经修复这个问题，然后再采取行动。如果问题已经修复，就可以修改密码。

　　泄露风险的确切大小目前尚不明确。有多达三分之二的网站都依赖这种名为OpenSSL的有缺陷技术。但有些组织似乎提前得到了通知，并已于周二下午修复了这个问题。其他许多网站仍在处理这个问题。

　　这个漏洞已存在了大约两年，但尚无迹象表明曾利用它来窃取信息。在开发者聚集起来分享编码的Github网站上，有人发布了一些利用这个漏洞的方法。一些芬兰安全研究人员和谷歌的安全研究人员在OpenSSL安全协议里发现了这个漏洞。OpenSSL的安全协议是为用户设备和网站之间的通讯加密的基本安全设置，被人称为"心跳",因为它负责来回发送信息。研究人员把这个漏洞称为"心脏出血".前述芬兰研究人员是为总部位于加州萨拉托加的安全公司Codenomicon工作的。

　　"这是一个严重的漏洞，因为它可能不会留下任何痕迹，"Codenomicon的首席执行官戴维·沙尔捷（David Chartier）说。"不怀好意的人可以进入机器内存，窃取密钥、用户名、密码和有价值的知识产权，而且不会留下任何痕迹。"

　　有关方面建议各机构立即下载新版OpenSSL安全协议，该安全协议将包含一个补丁，而且能够快速置换它们的密钥。这还意味着各组织需要改变他们的企业密码，登出用户，并建议用户修改自己的密码。

　　接下来，公司应该开始盘点可能丢失了什么数据。然而，这个漏洞可以让袭击者偷偷窃取保护通讯的秘钥、用户密码以及易受攻击的网络服务器存储的任何东西，这样一来，几乎无法评定是否已经造成了损害。

　　安全研究人员称，他们发现了一些证据，表明袭击者知道这个漏洞。监控各种"mi-guan"--网上隐藏的假数据，意在引诱，让研究人员更多地了解他们的工具和手法--的研究人员发现的证据表明，袭击者曾利用"心脏出血"漏洞接触那些假数据。

　　如果确实有人受害，这些人可谓厄运临头。"除非袭击者跑来敲诈你，或是将你的信息公布在网上，或是窃取并利用某项商业机密，不然的话，你都不会知道自己受了损害，"沙尔捷说，"这个漏洞恶劣的地方就在这里。"

　　沙尔捷建议用户就当自己的密码丢了，并且表示，各公司如果还没开始处理这个问题，那就应该立即着手解决。"公司必须有新密钥，用户也必须用新密码，"他补充说："而且动作要快。"

　　安全研究人员还提醒人们着手修改各种密码，尤其是敏感账户的密码，比如网银、电子邮件、文件存储器和电子商务账户。

　　截至周二下午，许多组织都注意到了这一警告。包括雅虎、OKCupid、亚马逊、贝宝（PayPal）在内的网络公司都已开始向用户通报这个漏洞，通报他们正在为修复漏洞而采取的措施。雅虎旗下的社交网络Tumblr称他们已经发布了修复补丁，并提醒用户立即修改密码。

　　"这依然意味着，我们都相信能保护我们的密码、私人邮件和信用卡安全的那个小锁图标（HTTPS），实际上会让任何知道如何利用漏洞的人接触所有这些个人信息，"雅虎旗下Tumblr公司的安全团队在他们的网站上写道。"这可能是一个打电话请病假，用点时间修改各种密码的好机会--尤其是像电子邮件、文件存储器和银行这样的高安全性 服务，它们可能已经受到了这个漏洞的损害。"

http://www.h***