招生熱線
0755-86191118
0755-86191118
SSL標準包含heartbeat選項,讓SSL連接一端的計算機發出短信息(heartbeat)來確認另一臺計算機仍處于聯網狀態并獲得回復。研究人員發現,存在發送偽裝的惡意heartbeat信息誘使SSL連接另一端的計算機泄露秘密信息的的可能性。也就是說計算機會被誘使傳輸服務器內存中的內容,這些內容包含大量隱私信息,包括登錄名甚至是密碼等等。因此本次OpenSSL 漏洞被形象地描述為“心臟出血”(heart bleed)。
在上述消息震驚世界后,美國國家安全局在Twitter上立馬語氣堅定地(以往常常是用詞曖昧)做出回應:“安全局在業界披露心’臟流血’之前,并不了解這一漏洞。”
對于政府的回應,分析人士普遍持懷疑態度。
首先,NSA每年在數據收集和監聽上的花費多達16億美元,是OpenSSL開源項目的幾千倍之多。作為一個互聯網文件傳輸廣泛使用的協議標準,存在如此嚴重的漏洞,政府專業組織不可能如此后知后覺。
其次,《紐約時報》在上述消息報道不久后爆料稱,奧巴馬政府在今年1月通過了一條法案:國家安全局應該將其發現的網絡漏洞等安全隱患公開告訴民眾。但出于某些顯而易見的需要抑或是保護國家安全的需要,政府可以對一些漏洞保持沉默,并加以合理使用。
