互联网安全,普通网民无可奈何之痛
自从有了互联网之后,互联网的安全问题就相伴而生。只要有程序员,就会有代码,只要有代码,就会有漏洞,然后就会有各种白帽子和黑客不断爆出各种漏洞,然后就是扫描、刷库、脱库、升级、修复,一系列组合拳打完收工,接下来等待的是下一次漏洞的降临。
细心的朋友可能已经发现了,那套组合拳是有讲究的,前三招永远在后两招之前,所以大家就不用担心自己的资料被泄露了,因为很可能已经泄露过多次了……一切都是最好的安排。
我个人虽然在软件行业很多年,但毕竟不是安全领域的,对这部分的技术可谓一知半解,或者四分之一解。比如我们为自己的软件产品加了功能权限、数据权限、代理权限、历史权限、密码策略、防 SQL 注入、防跨域攻击、SSL 数据加密等等,但这些措施在专业的黑客或白帽子眼中,基本上是形同虚设的。因为攻击往往来自应用系统的下层,比如操作系统漏洞,中间件漏洞、技术框架漏洞或协议漏洞等等。
所以,为了在江湖上立足,我特意结识了一些少年黑客(或白帽子),比如安全宝的道哥,知道创宇的余弦,还有不远万里没事就跑到中国进行义务教育的加拿大黑客厉哥等。当然,少年是和我相比,他们都是安全领域的行家里手,或老手,各个身怀绝技。并且,这些人估计昨晚都没睡觉,因为昨天互联网爆出了一个高危漏洞:OpenSSL Heartbleed 内存泄漏漏洞。他们几个估计都在挖的挖,堵的堵,补的补,忙的不亦乐乎,至于普通网民,咱们还是踏实睡觉,反正数据就在那里,不多不少。
我在文章开始提到过 SSL,这是互联网最常用的安全协议,作为互联网的用户,如果你访问的网址中有 https 的字样,那么说明这个网站采用了 SSL 协议,你和网站之间传输的数据都是加密的,即使其他人通过技术手段拦截了这些请求和响应,看到的也是密文。SSL 是互联网安全的基石之一,各大网银、支付、交易类网站大都采用了 SSL 协议。
OpenSSL 是一个开放源代码的、实现了 SSL 协议及相关加密技术的软件包,很多厂商都采用了这一技术实现安全数据传输。可以说,基于 OpenSSL 的 SSL 协议是互联网上安全通讯的工业标准,现在 OpenSSL 这个安全软件包本身爆出了内存漏洞,所以导致整个互联网的安全出现了问题。
安全靠锁,现在锁出事了,不是钥匙丢了,而是几乎所有人都可以打开这把锁(理论上)。
这个漏洞名为Heartbleed,译为心在滴血。想来也是,安全套件本身出了问题,无疑等于往心脏上插刀,不滴血才怪。该漏洞会随机泄漏采用了 OpenSSL 服务器的 64K 内存,内存中可能会含有程序代码、安全证书、HTTP原始请求、用户Cookie、邮件等隐私信息,黑客可以反复扫描获取数据进行比对,如果你有的是耐心和细心,那么扫描了足够多的数据之后,就有可能分析出某些倒霉用户的用户名和密码等安全信息。