加密鎖失靈 專家疑誇大

加密鎖失靈 專家疑誇大

歐美網路資安專家發現，一個全球普及的網路加密技術兩年來一直存在「核彈級」的重大 漏洞，使駭客有機會不留痕跡竊取個資，全球多達三分之二網站恐淪陷，數百萬密碼和信 用卡號碼可能因此洩露，2億網友被波及。

自7日爆出有關漏洞消息後，有安全公司在其官方網站上發布新聞稱，該公司安全檢測平 台對120萬家經過授權的網站掃描，其中有1萬1440個網站主機受OpenSSL「心臟出血」 漏洞影響。7日、8日期間，共計約2億網友訪問了存在OpenSSL漏洞的網站。

若網站網址開頭使用https，就是採用了SSL安全協議。OpenSSL為處理SSL加密格式最常 見的程式庫，也就是銷量最大的「網路鎖」，用來保護客戶的密碼或信用卡號。芬蘭資安 公司Codenomicon的研究人員梅塔（Neel Mehta）日前發現OpenSSL的一項重大漏洞， 將之取名為「心臟出血」」（Heartbleed），原因是OpenSSL系統一項名為「心跳」的 功能，容許駭客向網站的伺服器送出惡意信息，騙取對方加密的資料。

紐約時報報導，知名網站谷歌、臉書、雅虎和亞馬遜、甚至美國聯邦調查局（FBI）等皆 使用此種加密方式。科技網Ars Technica稱，他們測試用「心血」漏洞短短5分鐘，「就 獲得雅虎電子郵箱的200個用戶名和密碼」。

雅虎坦承容易「中招」，但強調及後已修補旗下各項程式。據報導，「心血」的可怕之 處，在於不知道有多少資料被竊，也不知道已被駭了多久。Codenomicon行政總裁表 示，「駭客竊取加密鑰匙、用戶名稱、密碼和有價值的知識產權，而且不會留下任何痕 跡。除非駭客向你勒索，否則不會知道你是否被駭了。」

但有專家表示，網路安全「地震」被誇大。廣東井田雲科技有限公司首席架構設計師何漸 興表示，若在網站管理系統後台，將OpenSSL文件裡的一個源碼頁面加上了一段大學電腦 課上常用的一個if語句，就可以把OpenSSL漏洞輕鬆補上。何漸興說，OpenSSL漏洞就像 是一個房子的門開了一條非常細的縫，如果門外的陌生人經過並朝門縫裡盯一眼，理論上 有可能看見室內發生的事情，而用這條if句的安全機制就是，如果發現門外有陌生人經 過，主人便適時堵住門縫。