OpenSSL HeartBleed來勢洶洶,這個資訊安全漏洞發布至今已過10天,雖然各大網路公司陸續修補漏洞,但政府與民間的各種服務,仍缺乏主管機關統整台灣安全漏洞回報及損失,以致於受害情況仍不清楚。台灣駭客年會(HITCON)17日舉辦Free Talk,呼籲政府、企業與相關組織應該儘速檢查並將OpenSSL更新為1.0.1g版本,而使用者確定網站已修補漏洞之後,也要趕緊更改密碼。
OpenSSL在4月8日發佈HeartBleed(CVE-2014-0160)資訊安全漏洞,攻擊者能藉此漏洞讀取伺服器裡的記憶體訊息,被視為十年來網路上最大的安全漏洞,資訊安全專家甚至稱為全球駭客的殺戮祭典。
資安公司「戴夫寇爾」統計至4月16日為止,台灣設備廠商受害的範圍不小,使用該加密通訊協定Port 433的伺服器共有38.1萬台,其中3.35萬台使用OpenSSL,而有漏洞的伺服器是2424台。
戴夫寇爾執行長翁浩正表示,「目前無法估計受害的情況,許多伺服器都有待偵測是否安全。」他呼籲企業內部及網站管理者儘快做偵測,確認伺服器是否在受害範圍內。比如,有些網站的營運是採取委外開發的模式,網站建置完成後並沒有持續更新,類似這樣的網站都是高度危險群。
由於OpenSSL函示庫被廣泛應用在電子商務、個資安全、機敏資料傳輸等網路服務,例如網頁服務協定https。全球有66%主機和網路設備使用此技術,OpenSSL HeartBleed漏洞,影響全球超過17.5%的網站,zmap.io公布一份即時更新報告,檢查Alexa排名前100萬名的網站是否受到該漏洞影響。
翁浩正戲稱此漏洞為「駭客的記憶體刮刮樂」。他解釋,攻擊者透過OpenSSL提供確認伺服器存活的心跳功能,要求服務方提供一個指定大小的資訊,OpenSSL為了補足該指定大小的欄位,隨機從現在正在運行的機器記憶體內取出未經加密的資訊填入,再回傳給攻擊者。也就是說,只要攻擊者不斷攻擊這台伺服器,在記憶體中的所有機密資料,包括網站密碼、信用卡卡號、個資、用來加密的私密金鑰,都可能被洩露,「而且完全不需要任何技術門檻!」翁浩正說。
翁浩正指出,微軟使用自己所開發的SLL技術,而非使用OpenSSL加密,目前政府部門沒傳出災情,主要是因為大多使用微軟的方案。此次漏洞發生在1.0.1、1.0.1f版本,而台灣的金融業則多用0.9.8版本,在這個安全漏洞上逃過一劫,不過,也相對面臨其他安全的問題。
而大型網路公司,以Facebook的反應速度最快,2小時內就修補完畢,Yahoo!是一天後修補,Google的部分伺服器則在事件發生2天後才修補漏洞。各大網路服務的使用者若確定網站已修補漏洞之後,應儘快更改密碼。
一般民眾可以這樣做
網站管理者的應對措施
照片來源:戴夫寇爾CEO翁浩正投影片(攝影/郭芝榕)。
