史上最恐怖 Heartbleed臭蟲襲台
電信、電商、社群、支付都中鏢 逾二千個網站受影響

堪稱近十年網路最嚴重的安全漏洞,Heartbleed不僅讓駭客竊取到你的個人資料,連帳號密碼、信用卡號、私密金鑰也無法倖免。

2014/04/24 出處:財訊雙週刊 第 449 期 作者:呂愛麗

「CVE–2014–0160」或廣泛稱為「Heartbleed」,被公認為近十年網路最嚴重的安全漏洞。國內資安圈人人風聲鶴唳,連駭客年會組織也緊急出面呼籲大家要嚴陣以待。據估計,台灣至今已有2424個網站受到影響!

四月十七日,約50、60名來自各政府單位、金融機構、中小企業等代表,聚集在一個小型演講廳,聚精會神聆聽簡報。內容全是關於Heartbleed漏洞的嚴重性、如何檢測及補救。

儘管憂心,國內最大型駭客年會組織HITCON副總召,也是資安顧問公司戴夫寇爾執行長翁浩正試圖以輕鬆的方式形容這場災難,「有人說,這是駭客的嗜血戰場,因為Heartbleed就像心臟噴出血般嚴重。」

嗜血戰場 個資密碼全外洩

這個漏洞由一家芬蘭資安公司Codenomicon及谷歌(Google)工程師,幾乎同一時間發現。Codenomicon執行長大衛.查泰爾(David Chartier)受訪時指出,漏洞由非常微小的程式錯誤所引致。該公司是在進行產品測試時無意中發現的。更駭人的是,這個漏洞已經存在兩年,駭客若利用這個漏洞竊取資料,根本無從追查。

Heartbleed獲得高度關注,原因是這個漏洞發生在全球應用最廣泛的加密技術SSL,不論是電子商務、個資安全、機密資料傳輸都靠它保護。對一般民眾而言,最簡單明瞭的方式就是看到網站以「https://」開頭,即採用了SSL安全協議。

HITCON總召蔡松廷(TT)指出,全世界有66%主機和網路設備,使用基於開放原始碼套件OpenSSL的程式碼。換言之,這起網路資安事件影響全球超過17.5%的網站。他說:「只要你有10台不同廠牌使用SSL的設備,就有兩台可能中獎。」著名網通廠商思科(Cisco)及瞻博(Juniper)已確定受害。

駭客圈甚至私下稱此漏洞為「SSL記憶體刮刮樂」。SSL的運作是基於安全協定與伺服器之間的祕密傳輸。翁浩正解釋,為了確保加密技術運作無虞,「兩者之間會三不五時傳遞heartbeat封包。就像心跳一樣,確認對方還活著。」然而,Heartbleed漏洞卻允許意圖不軌者透視祕密傳輸內容,並從中動手腳,導致伺服器除了傳輸「我還活著」的訊息,連伺服器記憶體內的資料也雙手奉上。

別心存僥倖 趕快檢測止血

這些資料可能包括帳號密碼、交易信用卡卡號、Cookie以及私密金鑰等。由於每次只能傳輸64KB資料,駭客可不斷嘗試,直至竊取到龐大可以賣錢的寶貴資訊。「這比刮刮樂更好,不用花錢!」翁浩正苦笑著說。

Add to Flipboard Magazine.
踢爆無良老闆搬錢內幕
財訊雙週刊第517期
出賣強勢股名單
財訊趨勢特刊第63期
熱門文章
搖擺蔡英文讓她半年一事無成

搖擺蔡英文讓她半年一事無成
缺乏主軸的忙茫盲 執政的4大錯誤

半年多來,抗議從沒停過,這是台灣公民社會發展的必然,這不是蔡英文的失敗。她真正失敗的地方在於,無法召喚支持者的熱情,也沒有做什麼大事讓人跟在她後面吶喊。

more


TOP