英文原文:7 Heartbleed Myths Debunked——Heartbleed has inspired a frenzy of fears and misinformation. Let’s take the air out of them.
一个代码上的失误导致大量在线服务商出现安全问题,人们也因为“心脏出血”而处于紧张状态。上周,这场危机震惊了世界。并且许多新的报告带给人们的仅仅是更多的恐慌。许多错误的信息正在弥漫。让我们来上一堂真相课,看看哪些说法是错的。
谣传1:“心脏出血”是一个病毒
OpenSSL bug 不是一个病毒。他是一个缺陷,一个被许多网站和服务器使用的开源加密协议上的一个纯粹的代码错误。
当它工作的时候,OpenSSL 确保在网络通信的时候防止被窃听。(在网址前有一个“HTTPS”,这个特别的“s”-确保了安全的形式的通信)。
因此,“心脏出血”是一个 bug,一个被意外揭开的安全漏洞,这使得其他人能监视网络通信和登陆事件,同样也能窃取可信数据和其他记录。
谣传2:这个 Bug仅影响网站
对于服务器和路由器都潜在着巨大的安全影响,这允许大量数据被泄露。同样地,网站,在线服务器以及网络服务器都存在风险,但是那只是潜在的目标。
当客户端是你的手机,笔记本,其他设备等连接网络的时候,风险就存在了,且增长很快,这被叫做“心脏出血的逆转”。这意味着被存储在这些设备上的信息将能够被窃取。
“客户端内存仅在进程运行的时候被分配内存,因此,就不可能获取所有进程的访问权,但是,你的E-mail 内容文本,文档和登陆密码还有有可能被窃取,”Codenomicon—the Finnish 公司的 CEO David Chartier 说。
未经授权的账户以及那些系统设定的访问对于智能家居尤其令人不安。类似于 SmartThings 和 Revolv 公司生产的智能设备,同样 Zonoff 公司的 powering Staples Connect 智能家居系统和 iControl,还有 Warner Cable, ADT, Comcast, Cox, Rogers 等等。
SmartThings 和 Revolv 已经在为他们的软件打补丁。iControl 明确告诉我们没有使用 OpenSSL。到发稿为止,Zonoff 没有发表什么评论。
(更新说明:Zonoff 一直在使用 OpenSSL,但是公司明确告诉 ReadWrite,他们已经有效地更新了服务器,从而修补了漏洞。)
迄今为止,黑客没有渠道直接通过使用“心脏出血”控制你的智能手机。再次声明,现在比较危险的是存在内存中数据,因为这些设备在短期内不能打补丁。在 Android 4.1.1 中,谷歌将会为其打上补丁。而近期,IOS 也把安全问题列在了首位,这些如果都可能的话,IPhone 和 Android 对“心脏出血”将是免疫的。
当然,这些手机上的应用可能又是另一回事了。黑莓认为,在 IOS 和 Android 上的 BBM 是易受攻击的。但是,攻击者还是不能进入他的内存并且使用它,但是他们可以监听到你正在进行中的聊天。(更新说明:黑莓说 BBM 已经更新了。)
谣传4:Windows XP的用户厄运难逃,因为微软已经放弃它了
完全错误。的确,这个时间点真是不太好。微软说,“心脏出血”在全国各地引起恐慌的时候,他们已经不再提供 XP 了。但是微软没有使用 OpenSSL 这项技术。
这对于这个拥有 14 年历史的操作系统来说确实是一个大新闻,截至发稿,仍然有超过四分之一的电脑在使用 XP。如果因为这个影响到他们,他们已经被困在“心脏出血”中了,他们已经没有希望得到更新了。
事实上所有的 Windows 用户,取得被叫做安全通道(Secure Channel (aka SChannel))的安全组件,就不会受到影响。但是,值得注意的是,XP 用户将不会自动得到更新的软件或者 SChannel 更新了。
在微软云服务 WindowsAzure 上运行 Linux 的用户也被排除在外,这些发行版依赖 OpenSSL,因此微软催促这些用户联系这些发行版的提供者为他们更新软件。对于 Mac OS X 来说,苹果官方宣布“心脏出血”对其没有影响。
谣传5: 因为“心脏出血”我们所有的银行都会被撬开
安全问题是严重的,但是它不能撬开虚拟金库。实际上,美国的银行业的技术负责人们报告银行基本上不受影响。
这些公司宣称他们不使用 OpenSSL,因此他们也不存在风险:Bank of America
Capital One Financial,JPMorgan Chase,Citigroup,TD Bank,U.S. Bancorp,Wells Fargo,PNC Financial Services Group。
当然,有许多的银行和信用机构没有在上面的名单中,这也就是为什么联邦金融调查委员会(Federal Financial Institutions Examination Council (FFIEC))催促“金融机构应该尽快给他们使用 OpenSSL 的服务器,系统及其应用打补丁,以应对所带来的风险”。
此外,CNET 的对一些高授权网站的调查显示 PayPal 没有受到“心脏出血”的影响,还有那些大型零售商,人们将自己的借记卡或信用卡信息存在那儿也不会收到多大影响。比如:Amazon.com,eBay,Groupon,Target,TripAdvisor,Walmart。
(看起来,他们从去年年底的巨大的安全漏洞中学到了很多。)
“心脏出血”缺陷不能用来直接撬开银行或者获取大型零售商系统上的信息,然而,不能因为这些站点和账户没有受患于这些黑客,就认为他们完全没有风险。
谣传6:我的站点或服务器没有风险或者打了补丁,我现在就是安全的。
这样说是不确切的。“心脏出血”是隐伏的且不留痕迹的。这意味着没有办法告诉你,你的信息已经被偷。所以仍然存在风险。如果你的登录信息被存储或者被发送到其他地方,这就是一个缺口。这里归结了几个方法:你最好去那些受到影响的网站修改你的密码,但是要在他们打完补丁之后。除此之外,要确保在他们升级完程序之后,你最好检查你的信用卡,账户状态以及线上行为记录没有出现非官方的条目。
谣传7:NSA用“心脏出血”窃取我们的信息
引述未具名消息人士,彭博社(Bloomberg)指责国家安全局(National Security Agency)早已知晓“心脏出血”却没有公布。但是,这不是全部。NSA 不是简单的意识到这个 bug,还涉嫌利用这个漏洞长达两年的时间。
鉴于“棱镜项目”,这很容易就被相信了。甚至在彭博社指责之前,NSA 就高度被怀疑。那个时候,微博上就有大量质疑声。就好像齐声在说“NSA 肯定涉及了此事”。
但是 NSA 断然否认了此事。该机构说他们没有这样做,而且宣布对于这一漏洞是之前就存在是完全不知晓的。
没有办法知道 NSA 是否诚实,而且该机构的的可信度确实不高。但是,也没有证据说他们利用“心脏出血”去监视。因此,就目前而言,这个谣言是站不住脚的。
很难想象任何联邦的官方机构没有意识到这么严重的安全漏洞。但是,这也并不是没有可能。就拿加拿大税务局(Canada Revenue Agency)来说,这个政府机构一直使用 OpenSSL,现在他们已经临时关闭了他们的部分网站服务器。而下周就是加拿大报税的截止日期。
你还听说了哪些关于“心脏出血”的谣传,让我们来一一揭穿他吧。