BI中文站 4月12日
据一些媒体的消息称,多年以来,NSA(美国国家安全局)一直在利用“Heartbleed(心脏出血)”这一巨大的安全漏洞来收集互联网用户的信息。
相关阅读:
OpenSSL TLS心跳读远程信息泄露漏洞 (CVE-2014-0160)
OpenSSL严重bug允许攻击者读取64k内存,Debian半小时修复
通过OpenSSL提供FTP+SSL/TLS认证功能,并实现安全数据传输
Heartbleed漏洞充分利用被广泛使用的加密协议中此前未发现的程序失误,来诱骗网络服务器溢出大量有价值的用户数据和信息,这种高危漏洞几乎影响了使用互联网的所有人。
正如我们在周二的文章中阐述的那样,几乎约三分之二的网络使用了隐藏Heartbleed漏洞的软件,其中就包括Facebook、雅虎和Gmail等重要服务提供商。
这种情况当然会使得Heartbleed漏洞成为NSA收集用户各种数据的极其有效的工具,尽管这会引发人们对NSA的动机和效力产生质疑。不过,对于上述传闻,NSA方面坚持否认利用Heartbleed漏洞。
业界认为,NSA能够在Heartbleed漏洞出现之后不久就快速地发现这一漏洞,这并不奇怪,因为这是一个小错误,并不会明显地破坏SSL(安全套接层)中的任何功能,因此开放源领域中将不会有人发现这种漏洞。当然,这恰恰可能是NSA及其一小部分军方安全专家试图寻找的漏洞——即一些被广泛使用但又很难被发现的漏洞。
据知情人士透露,Heartbleed漏洞在出现之后不久,很快就成为了“NSA窃取用户帐户密码和其它普通任务工具的基本组成部分”。这位知情人士还透露,NSA建立了一个数据库,里面收集了成千上万个漏洞,其中的多数漏洞目前可能仍没有被独立计算机安全研究人员发现。
当然,NSA一直在竭力否认上述传闻,并通过Twitter发布消息称,NSA“也是直到Heartbleed漏洞近期被公开之后才确认了这一漏洞”。
Heartbleed 的详细介绍:请点这里
Heartbleed 的下载地址:请点这里