揭穿七種關(guān)于“心臟出血”的謠傳

一個(gè)代碼上的失誤導(dǎo)致大量在線服務(wù)商出現(xiàn)安全問題，人們也因?yàn)?ldquo;心臟出血”而處于緊張狀態(tài)。上周，這場(chǎng)危機(jī)震驚了世界。并且許多新的報(bào)告帶給人們的僅僅是更多的恐慌。許多錯(cuò)誤的信息正在彌漫。讓我們來上一堂真相課，看看哪些說法是錯(cuò)的。

謠傳1：“心臟出血”是一個(gè)病毒

OpenSSL bug不是一個(gè)病毒。他是一個(gè)缺陷，一個(gè)被許多網(wǎng)站和服務(wù)器使用的開源加密協(xié)議上的一個(gè)純粹的代碼錯(cuò)誤。

當(dāng)它工作的時(shí)候，OpenSSL確保在網(wǎng)絡(luò)通信的時(shí)候防止被竊聽。（在網(wǎng)址前有一個(gè)“HTTPS”，這個(gè)特別的“s”-確保了安全的形式的通信）。

因此，“心臟出血”是一個(gè)bug，一個(gè)被意外揭開的安全漏洞，這使得其他人能監(jiān)視網(wǎng)絡(luò)通信和登陸事件，同樣也能竊取可信數(shù)據(jù)和其他記錄。

謠傳2：這個(gè)Bug僅影響網(wǎng)站

對(duì)于服務(wù)器和路由器都潛在著巨大的安全影響，這允許大量數(shù)據(jù)被泄露。同樣地，網(wǎng)站，在線服務(wù)器以及網(wǎng)絡(luò)服務(wù)器都存在風(fēng)險(xiǎn)，但是那只是潛在的目標(biāo)。

當(dāng)客戶端是你的手機(jī)，筆記本，其他設(shè)備等連接網(wǎng)絡(luò)的時(shí)候，風(fēng)險(xiǎn)就存在了，且增長(zhǎng)很快，這被叫做“心臟出血的逆轉(zhuǎn)”。這意味著被存儲(chǔ)在這些設(shè)備上的信息將能夠被竊取。

“客戶端內(nèi)存僅在進(jìn)程運(yùn)行的時(shí)候被分配內(nèi)存，因此，就不可能獲取所有進(jìn)程的訪問權(quán)，但是，你的E-mail內(nèi)容文本，文檔和登陸密碼還有有可能被竊取，”Codenomicon—the Finnish 公司的CEO David Chartier說。

未經(jīng)授權(quán)的賬戶以及那些系統(tǒng)設(shè)定的訪問對(duì)于智能家居尤其令人不安。類似于SmartThings和Revolv公司生產(chǎn)的智能設(shè)備，同樣 Zonoff公司的powering Staples Connect智能家居系統(tǒng)和iControl，還有Warner Cable, ADT, Comcast, Cox, Rogers等等。

SmartThings 和Revolv已經(jīng)在為他們的軟件打補(bǔ)丁。iControl明確告訴我們沒有使用OpenSSL。到發(fā)稿為止，Zonoff沒有發(fā)表什么評(píng)論。

（更新說明：Zonoff 一直在使用OpenSSL，但是公司明確告訴ReadWrite，他們已經(jīng)有效地更新了服務(wù)器，從而修補(bǔ)了漏洞。）

謠傳3：黑客能利用“心臟出血”遠(yuǎn)程控制你的手機(jī)

迄今為止，黑客沒有渠道直接通過使用“心臟出血”控制你的智能手機(jī)。再次聲明，現(xiàn)在比較危險(xiǎn)的是存在內(nèi)存中數(shù)據(jù)，因?yàn)檫@些設(shè)備在短期內(nèi)不能打補(bǔ)丁。在Android 4.1.1中，谷歌將會(huì)為其打上補(bǔ)丁。而近期，IOS也把安全問題列在了首位，這些如果都可能的話，IPhone和Android對(duì)“心臟出血”將是免疫的。

當(dāng)然，這些手機(jī)上的應(yīng)用可能又是另一回事了。黑莓認(rèn)為，在IOS和Android上的BBM是易受攻擊的。但是，攻擊者還是不能進(jìn)入他的內(nèi)存并且使用它，但是他們可以監(jiān)聽到你正在進(jìn)行中的聊天。（更新說明：黑莓說BBM已經(jīng)更新了。）

謠傳4：Windows XP的用戶厄運(yùn)難逃，因?yàn)槲④浺呀?jīng)放棄它了

完全錯(cuò)誤。的確，這個(gè)時(shí)間點(diǎn)真是不太好。微軟說，“心臟出血”在全國(guó)各地引起恐慌的時(shí)候，他們已經(jīng)不再提供XP了。但是微軟沒有使用OpenSSL這項(xiàng)技術(shù)。

這對(duì)于這個(gè)擁有14年歷史的操作系統(tǒng)來說確實(shí)是一個(gè)大新聞，截至發(fā)稿，仍然有超過四分之一的電腦在使用XP。如果因?yàn)檫@個(gè)影響到他們，他們已經(jīng)被困在“心臟出血”中了，他們已經(jīng)沒有希望得到更新了。

事實(shí)上所有的Windows用戶，取得被叫做安全通道（Secure Channel (aka SChannel)）的安全組件，就不會(huì)受到影響。但是，值得注意的是，XP用戶將不會(huì)自動(dòng)得到更新的軟件或者SChannel更新了。

在微軟云服務(wù)Windows Azure上運(yùn)行Linux的用戶也被排除在外，這些發(fā)行版依賴OpenSSL，因此微軟催促這些用戶聯(lián)系這些發(fā)行版的提供者為他們更新軟件。對(duì)于Mac OS X來說，蘋果官方宣布“心臟出血”對(duì)其沒有影響。

謠傳5: 因?yàn)?ldquo;心臟出血”我們所有的銀行都會(huì)被撬開

安全問題是嚴(yán)重的，但是它不能撬開虛擬金庫(kù)。實(shí)際上，美國(guó)的銀行業(yè)的技術(shù)負(fù)責(zé)人們報(bào)告銀行基本上不受影響。

這些公司宣稱他們不使用OpenSSL，因此他們也不存在風(fēng)險(xiǎn)：Bank of America

Capital One Financial，JPMorgan Chase，Citigroup，TD Bank，U.S. Bancorp，Wells Fargo，PNC Financial Services Group。

當(dāng)然，有許多的銀行和信用機(jī)構(gòu)沒有在上面的名單中，這也就是為什么聯(lián)邦金融調(diào)查委員會(huì)（Federal Financial Institutions Examination Council (FFIEC)）催促“金融機(jī)構(gòu)應(yīng)該盡快給他們使用OpenSSL的服務(wù)器，系統(tǒng)及其應(yīng)用打補(bǔ)丁，以應(yīng)對(duì)所帶來的風(fēng)險(xiǎn)”。

此外，CNET的對(duì)一些高授權(quán)網(wǎng)站的調(diào)查顯示PayPal沒有受到“心臟出血”的影響，還有那些大型零售商，人們將自己的借記卡或信用卡信息存在那兒也不會(huì)收到多大影響。比如：Amazon.com，eBay，Groupon，Target，TripAdvisor，Walmart。

（看起來，他們從去年年底的巨大的安全漏洞中學(xué)到了很多。）

“心臟出血”缺陷不能用來直接撬開銀行或者獲取大型零售商系統(tǒng)上的信息，然而，不能因?yàn)檫@些站點(diǎn)和賬戶沒有受患于這些黑客，就認(rèn)為他們完全沒有風(fēng)險(xiǎn)。

謠傳6：我的站點(diǎn)或服務(wù)器沒有風(fēng)險(xiǎn)或者打了補(bǔ)丁，我現(xiàn)在就是安全的。

這樣說是不確切的。“心臟出血”是隱伏的且不留痕跡的。這意味著沒有辦法告訴你，你的信息已經(jīng)被偷。所以仍然存在風(fēng)險(xiǎn)。如果你的登錄信息被存儲(chǔ)或者被發(fā)送到其他地方，這就是一個(gè)缺口。這里歸結(jié)了幾個(gè)方法：你最好去那些受到影響的網(wǎng)站修改你的密碼，但是要在他們打完補(bǔ)丁之后。除此之外，要確保在他們升級(jí)完程序之后，你最好檢查你的信用卡，賬戶狀態(tài)以及線上行為記錄沒有出現(xiàn)非官方的條目。

謠傳7：NSA用“心臟出血”竊取我們的信息

引述未具名消息人士，彭博社（Bloomberg）指責(zé)國(guó)家安全局（National Security Agency）早已知曉“心臟出血”卻沒有公布。但是，這不是全部。NSA不是簡(jiǎn)單的意識(shí)到這個(gè)bug，還涉嫌利用這個(gè)漏洞長(zhǎng)達(dá)兩年的時(shí)間。

鑒于“棱鏡項(xiàng)目”，這很容易就被相信了。甚至在彭博社指責(zé)之前，NSA就高度被懷疑。那個(gè)時(shí)候，微博上就有大量質(zhì)疑聲。就好像齊聲在說“NSA肯定涉及了此事”。

但是NSA斷然否認(rèn)了此事。該機(jī)構(gòu)說他們沒有這樣做，而且宣布對(duì)于這一漏洞是之前就存在是完全不知曉的。

沒有辦法知道NSA是否誠(chéng)實(shí)，而且該機(jī)構(gòu)的的可信度確實(shí)不高。但是，也沒有證據(jù)說他們利用“心臟出血”去監(jiān)視。因此，就目前而言，這個(gè)謠言是站不住腳的。

很難想象任何聯(lián)邦的官方機(jī)構(gòu)沒有意識(shí)到這么嚴(yán)重的安全漏洞。但是，這也并不是沒有可能。就拿加拿大稅務(wù)局（Canada Revenue Agency）來說，這個(gè)政府機(jī)構(gòu)一直使用OpenSSL，現(xiàn)在他們已經(jīng)臨時(shí)關(guān)閉了他們的部分網(wǎng)站服務(wù)器。而下周就是加拿大報(bào)稅的截止日期。

你還聽說了哪些關(guān)于“心臟出血”的謠傳，讓我們來一一揭穿他吧。