日志
谈一下heartbleed"心脏滴血"
热度 29
1。这不是
电脑细菌也不是袭击,是加密软件OpenSSL存在的安全隐患;
2。什么是OpenSSL - 这是公开开发的SSL软件,大家都可以找到源代码;
3。SSL本身有问题?很多人和媒体不专业乱报道,SSL目前没有问题,很多SSL软件也没有问题,比 如你的browser一般用RSA或者其他加密软件,问题不是出在那里,而是openssl这个软件;
4。我密码是否不安全?这是一个很古怪的问题,而说肯定的根本无知。这个漏洞在2014/4/1被正式公开,目前没有已知的攻击源代码。大部分的hackers黑客其实是改改真正牛的黑客发现并发布的源代码,人家真正牛的黑客也不会去偷你的密码,你算老几?人家偷谁的,嘻嘻,有人说NSA早就知道这事儿,我更加怀疑可能是有意放进去的呢。应该说现在公布了,你的密码是越来越不安全了,因为已经有科学家在4/12成功的证明可以偷网站的私用密码(private key)。聪明的黑客多半在日以继夜的公关,包括传说的中国上海某编号大厦。
5。真正的危险在哪里?你以为改了密码有用吗,网站私用密码被偷了就不是你的问题,而是千万人的问题了。上面说了,问题不在你的浏览器。那在哪里?网站,用openssl的网站;硬件,用openssl的中转服务器(router,etc),思科和亚马逊等等都在火烧屁股,如果电话网络和对方被窃听你换个电话有用吗?
6。私用密码是什么?简单的说SSL,就是一个握手,你送去一个鸡蛋,对方用只有他有的密码在上面根据加密方法画了暗号,你这边有他公布的解码一查,OK。如果他密码被偷了,别人就可以冒充他跟你握手。还好,咱不去找黑客不就行了?抱歉,中转站如果也被劫持了,你知道你的握手要求去哪了吗?
7。亚马逊说他们填补了漏洞,没事啦?这个我不知道,因为中转如果出了问题,好像已经没他们啥事了,你已经被劫持了。再说怎样给几万台机器打补丁,反正几年前就我行业所知,连大银行都需要几个月,当然这个是最最重要的任务,而且今天虚拟环境普遍,可能快很多。
8。现在谁最开心?不是黑客,是Verisign和其他发certificate数码证件的,私用密码的提供者。我经常开玩笑说,不是黑客哪有加密和数码安全行业。很好很好,Oops,我得承认,我好像莫名其妙损人不利己滴,有点开心。
我们同僚有过一句话,没有攻不进的保密系统,只是我们有没有足够的时间。
2。什么是OpenSSL - 这是公开开发的SSL软件,大家都可以找到源代码;
3。SSL本身有问题?很多人和媒体不专业乱报道,SSL目前没有问题,很多SSL软件也没有问题,比 如你的browser一般用RSA或者其他加密软件,问题不是出在那里,而是openssl这个软件;
4。我密码是否不安全?这是一个很古怪的问题,而说肯定的根本无知。这个漏洞在2014/4/1被正式公开,目前没有已知的攻击源代码。大部分的hackers黑客其实是改改真正牛的黑客发现并发布的源代码,人家真正牛的黑客也不会去偷你的密码,你算老几?人家偷谁的,嘻嘻,有人说NSA早就知道这事儿,我更加怀疑可能是有意放进去的呢。应该说现在公布了,你的密码是越来越不安全了,因为已经有科学家在4/12成功的证明可以偷网站的私用密码(private key)。聪明的黑客多半在日以继夜的公关,包括传说的中国上海某编号大厦。
5。真正的危险在哪里?你以为改了密码有用吗,网站私用密码被偷了就不是你的问题,而是千万人的问题了。上面说了,问题不在你的浏览器。那在哪里?网站,用openssl的网站;硬件,用openssl的中转服务器(router,etc),思科和亚马逊等等都在火烧屁股,如果电话网络和对方被窃听你换个电话有用吗?
6。私用密码是什么?简单的说SSL,就是一个握手,你送去一个鸡蛋,对方用只有他有的密码在上面根据加密方法画了暗号,你这边有他公布的解码一查,OK。如果他密码被偷了,别人就可以冒充他跟你握手。还好,咱不去找黑客不就行了?抱歉,中转站如果也被劫持了,你知道你的握手要求去哪了吗?
7。亚马逊说他们填补了漏洞,没事啦?这个我不知道,因为中转如果出了问题,好像已经没他们啥事了,你已经被劫持了。再说怎样给几万台机器打补丁,反正几年前就我行业所知,连大银行都需要几个月,当然这个是最最重要的任务,而且今天虚拟环境普遍,可能快很多。
8。现在谁最开心?不是黑客,是Verisign和其他发certificate数码证件的,私用密码的提供者。我经常开玩笑说,不是黑客哪有加密和数码安全行业。很好很好,Oops,我得承认,我好像莫名其妙损人不利己滴,有点开心。
我们同僚有过一句话,没有攻不进的保密系统,只是我们有没有足够的时间。
我只是想涨姿势。貌似很多政府部门也用了OpenSSL,所以事情大条。