招生熱線
0755-86191118
0755-86191118
SSL標(biāo)準(zhǔn)包含heartbeat選項(xiàng),讓SSL連接一端的計(jì)算機(jī)發(fā)出短信息(heartbeat)來確認(rèn)另一臺(tái)計(jì)算機(jī)仍處于聯(lián)網(wǎng)狀態(tài)并獲得回復(fù)。研究人員發(fā)現(xiàn),存在發(fā)送偽裝的惡意heartbeat信息誘使SSL連接另一端的計(jì)算機(jī)泄露秘密信息的的可能性。也就是說計(jì)算機(jī)會(huì)被誘使傳輸服務(wù)器內(nèi)存中的內(nèi)容,這些內(nèi)容包含大量隱私信息,包括登錄名甚至是密碼等等。因此本次OpenSSL 漏洞被形象地描述為“心臟出血”(heart bleed)。
在上述消息震驚世界后,美國國家安全局在Twitter上立馬語氣堅(jiān)定地(以往常常是用詞曖昧)做出回應(yīng):“安全局在業(yè)界披露心’臟流血’之前,并不了解這一漏洞。”
對(duì)于政府的回應(yīng),分析人士普遍持懷疑態(tài)度。
首先,NSA每年在數(shù)據(jù)收集和監(jiān)聽上的花費(fèi)多達(dá)16億美元,是OpenSSL開源項(xiàng)目的幾千倍之多。作為一個(gè)互聯(lián)網(wǎng)文件傳輸廣泛使用的協(xié)議標(biāo)準(zhǔn),存在如此嚴(yán)重的漏洞,政府專業(yè)組織不可能如此后知后覺。
其次,《紐約時(shí)報(bào)》在上述消息報(bào)道不久后爆料稱,奧巴馬政府在今年1月通過了一條法案:國家安全局應(yīng)該將其發(fā)現(xiàn)的網(wǎng)絡(luò)漏洞等安全隱患公開告訴民眾。但出于某些顯而易見的需要抑或是保護(hù)國家安全的需要,政府可以對(duì)一些漏洞保持沉默,并加以合理使用。
