揭穿七种关于“心脏出血”的谣传

2014-04-16 18:02:24来源:开源中国作者:

一个代码上的失误导致大量在线服务商出现安全问题,人们也因为“心脏出血”而处于紧张状态。上周,这场危机震惊了世界。并且许多新的报告带给人们的仅仅是更多的恐慌。许多错误的信息正在弥漫。让我们来上一堂真相课

一个代码上的失误导致大量在线服务商出现安全问题,人们也因为“心脏出血”而处于紧张状态。上周,这场危机震惊了世界。并且许多新的报告带给人们的仅仅是更多的恐慌。许多错误的信息正在弥漫。让我们来上一堂真相课,看看哪些说法是错的。

谣传1:“心脏出血”是一个病毒

OpenSSL bug不是一个病毒。他是一个缺陷,一个被许多网站和服务器使用的开源加密协议上的一个纯粹的代码错误。

当它工作的时候,OpenSSL确保在网络通信的时候防止被窃听。(在网址前有一个“HTTPS”,这个特别的“s”-确保了安全的形式的通信)。

因此,“心脏出血”是一个bug,一个被意外揭开的安全漏洞,这使得其他人能监视网络通信和登陆事件,同样也能窃取可信数据和其他记录。

\

谣传2:这个Bug仅影响网站

对于服务器和路由器都潜在着巨大的安全影响,这允许大量数据被泄露。同样地,网站,在线服务器以及网络服务器都存在风险,但是那只是潜在的目标。

当客户端是你的手机,笔记本,其他设备等连接网络的时候,风险就存在了,且增长很快,这被叫做“心脏出血的逆转”。这意味着被存储在这些设备上的信息将能够被窃取。

“客户端内存仅在进程运行的时候被分配内存,因此,就不可能获取所有进程的访问权,但是,你的E-mail内容文本,文档和登陆密码还有有可能被窃取,”Codenomicon—the Finnish 公司的CEO David Chartier说。

未经授权的账户以及那些系统设定的访问对于智能家居尤其令人不安。类似于SmartThings和Revolv公司生产的智能设备,同样 Zonoff公司的powering Staples Connect智能家居系统和iControl,还有Warner Cable, ADT, Comcast, Cox, Rogers等等。

SmartThings 和Revolv已经在为他们的软件打补丁。iControl明确告诉我们没有使用OpenSSL。到发稿为止,Zonoff没有发表什么评论。

(更新说明:Zonoff 一直在使用OpenSSL,但是公司明确告诉ReadWrite,他们已经有效地更新了服务器,从而修补了漏洞。)

谣传3:黑客能利用“心脏出血”远程控制你的手机

迄今为止,黑客没有渠道直接通过使用“心脏出血”控制你的智能手机。再次声明,现在比较危险的是存在内存中数据,因为这些设备在短期内不能打补丁。在Android 4.1.1中,谷歌将会为其打上补丁。而近期,IOS也把安全问题列在了首位,这些如果都可能的话,IPhone和Android对“心脏出血”将是免疫的。

当然,这些手机上的应用可能又是另一回事了。黑莓认为,在IOS和Android上的BBM是易受攻击的。但是,攻击者还是不能进入他的内存并且使用它,但是他们可以监听到你正在进行中的聊天。(更新说明:黑莓说BBM已经更新了。)

谣传4:Windows XP的用户厄运难逃,因为微软已经放弃它了

完全错误。的确,这个时间点真是不太好。微软说,“心脏出血”在全国各地引起恐慌的时候,他们已经不再提供XP了。但是微软没有使用OpenSSL这项技术。

这对于这个拥有14年历史的操作系统来说确实是一个大新闻,截至发稿,仍然有超过四分之一的电脑在使用XP。如果因为这个影响到他们,他们已经被困在“心脏出血”中了,他们已经没有希望得到更新了。

事实上所有的Windows用户,取得被叫做安全通道(Secure Channel (aka SChannel))的安全组件,就不会受到影响。但是,值得注意的是,XP用户将不会自动得到更新的软件或者SChannel更新了。

在微软云服务Windows Azure上运行Linux的用户也被排除在外,这些发行版依赖OpenSSL,因此微软催促这些用户联系这些发行版的提供者为他们更新软件。对于Mac OS X来说,苹果官方宣布“心脏出血”对其没有影响。

谣传5: 因为“心脏出血”我们所有的银行都会被撬开

安全问题是严重的,但是它不能撬开虚拟金库。实际上,美国的银行业的技术负责人们报告银行基本上不受影响。

这些公司宣称他们不使用OpenSSL,因此他们也不存在风险:Bank of America

Capital One Financial,JPMorgan Chase,Citigroup,TD Bank,U.S. Bancorp,Wells Fargo,PNC Financial Services Group。

当然,有许多的银行和信用机构没有在上面的名单中,这也就是为什么联邦金融调查委员会(Federal Financial Institutions Examination Council (FFIEC))催促“金融机构应该尽快给他们使用OpenSSL的服务器,系统及其应用打补丁,以应对所带来的风险”。

此外,CNET的对一些高授权网站的调查显示PayPal没有受到“心脏出血”的影响,还有那些大型零售商,人们将自己的借记卡或信用卡信息存在那儿也不会收到多大影响。比如:Amazon.com,eBay,Groupon,Target,TripAdvisor,Walmart。

(看起来,他们从去年年底的巨大的安全漏洞中学到了很多。)

“心脏出血”缺陷不能用来直接撬开银行或者获取大型零售商系统上的信息,然而,不能因为这些站点和账户没有受患于这些黑客,就认为他们完全没有风险。

谣传6:我的站点或服务器没有风险或者打了补丁,我现在就是安全的。

这样说是不确切的。“心脏出血”是隐伏的且不留痕迹的。这意味着没有办法告诉你,你的信息已经被偷。所以仍然存在风险。如果你的登录信息被存储或者被发送到其他地方,这就是一个缺口。这里归结了几个方法:你最好去那些受到影响的网站修改你的密码,但是要在他们打完补丁之后。除此之外,要确保在他们升级完程序之后,你最好检查你的信用卡,账户状态以及线上行为记录没有出现非官方的条目。

谣传7:NSA用“心脏出血”窃取我们的信息

引述未具名消息人士,彭博社(Bloomberg)指责国家安全局(National Security Agency)早已知晓“心脏出血”却没有公布。但是,这不是全部。NSA不是简单的意识到这个bug,还涉嫌利用这个漏洞长达两年的时间。

鉴于“棱镜项目”,这很容易就被相信了。甚至在彭博社指责之前,NSA就高度被怀疑。那个时候,微博上就有大量质疑声。就好像齐声在说“NSA肯定涉及了此事”。

但是NSA断然否认了此事。该机构说他们没有这样做,而且宣布对于这一漏洞是之前就存在是完全不知晓的。

没有办法知道NSA是否诚实,而且该机构的的可信度确实不高。但是,也没有证据说他们利用“心脏出血”去监视。因此,就目前而言,这个谣言是站不住脚的。

很难想象任何联邦的官方机构没有意识到这么严重的安全漏洞。但是,这也并不是没有可能。就拿加拿大税务局(Canada Revenue Agency)来说,这个政府机构一直使用OpenSSL,现在他们已经临时关闭了他们的部分网站服务器。而下周就是加拿大报税的截止日期。

你还听说了哪些关于“心脏出血”的谣传,让我们来一一揭穿他吧。
 

赞助商链接: