美國國家安全局早在2012年,也就是首次發現“心臟出血”時,就已經掌握了這一漏洞信息。遺憾的是,奧巴馬政府并沒有及時將這一消息公布。更讓人難以接受的是,政府還將這個漏洞作為自己收集、監視用戶網絡數據的有利武器之一。
就在“心臟出血”漏洞還讓互聯網公司和普通用戶人心慌慌之際,彭博社又向人們扔出了一記重磅炸彈。
據悉,美國國家安全局早在2012年,也就是首次發現“心臟出血”時,就已經掌握了這一漏洞信息。遺憾的是,奧巴馬政府并沒有及時將這一消息公布。更讓人難以接受的是,政府還將這個漏洞作為自己收集、監視用戶網絡數據的有利武器之一。
SSL標準包含heartbeat選項,讓SSL連接一端的計算機發出短信息(heartbeat)來確認另一臺計算機仍處于聯網狀態并獲得回復。研究人員發現,存在發送偽裝的惡意heartbeat信息誘使SSL連接另一端的計算機泄露秘密信息的的可能性。也就是說計算機會被誘使傳輸服務器內存中的內容,這些內容包含大量隱私信息,包括登錄名甚至是密碼等等。因此本次OpenSSL漏洞被形象地描述為“心臟出血”(heart bleed)。
在上述消息震驚世界后,美國國家安全局在Twitter上立馬語氣堅定地(以往常常是用詞曖昧)做出回應:“安全局在業界披露‘心臟流血’之前,并不了解這一漏洞。”
對于政府的回應,分析人士普遍持懷疑態度。
首先,NSA每年在數據收集和監聽上的花費多達16億美元,是OpenSSL開源項目的幾千倍之多。作為一個互聯網文件傳輸廣泛使用的協議標準,存在如此嚴重的漏洞,政府專業組織不可能如此后知后覺。
其次,《紐約時報》在上述消息報道不久后爆料稱,奧巴馬政府在今年1月通過了一條法案:國家安全局應該將其發現的網絡漏洞等安全隱患公開告訴民眾。但出于某些顯而易見的需要抑或是保護國家安全的需要,政府可以對一些漏洞保持沉默,并加以合理使用。
河南億恩科技股份有限公司(www.vbseamall.com)始創于2000年,專注服務器托管租用,是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務,另有網總管、名片俠網絡推廣服務,使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話:
0371-60135900
虛擬主機/智能建站 24小時售后服務電話:
0371-55621053
網絡版權侵權舉報電話:
0371-60135995
服務熱線:
0371-60135900
