哪些互聯網有「心臟出血」漏洞 用戶可自測

【大紀元2014年04月11日訊】（大紀元記者馬穎慧編譯報導）被谷歌研究人員和芬蘭安全公司Codenomicon發現的心臟出血（ Heartbleed ）漏洞給全球互聯網用戶帶來恐慌。這一漏洞可竊取用戶的信用卡號碼，密碼等敏感個人信息，且已存在兩年的時間而一直沒有被發現，預計已有數百萬個互聯網網站受影響。 互聯網用戶除了需要自己更換密碼之外，最好瞭解一下自己將要訪問的網站的安全性。

《華爾街日報》星期四（4月10 日）表示，全球最大的兩家網路設備製造商， 思科公司和瞻博網路公司（Juniper Networks）承認他們的一些產品網站中發現這一Hearbleed漏洞。

據悉， 這款Heartbleed漏洞攻破了一款OpenSSL加密軟體。OpenSSL加密軟體是一種流行的開源代碼加密庫， 是一種對互聯網上的通信信息進行加密的傳輸層安全設施，用於保護網上賬號進行安全的網上通訊和電子商務交易，全球有2/3 的重要網站使用這種OpenSSL軟體，該軟體的標誌是瀏覽器特定位置上的一個小鎖頭。

該軟體在網上的操作在於，當用戶使用類似於臉書或Gmail 等用戶認為安全的網站發送信息時，互聯網兩頭的計算機肯定需要瞭解另一頭的計算機是否仍然在線，所以他們會發出一個被稱為「心臟跳動」（heartbeat） 的小數據包，要求另一方回覆，如果另一台計算機也在線，他們就會使用自己記憶庫中儲存的一些信息做回覆。而黑客可將一款偽裝的非常像「心臟跳動」數據包的病毒軟體，發送給互聯網另一方的計算機，並誘使對方電腦使用自己內存中的數據作出回應，通過這種方式來盜竊用戶在臉書， Gmail，雅虎或其他網站上的密碼，甚至包括信用卡信息等敏感信息。據悉，很多互聯網用戶經常訪問的流行社交網站，公司網站，業餘愛好網站，甚至很多政府經營的網站都存在Heartbleed漏洞。

技術人員表示， 互聯網用戶欲對抗「心臟出血」軟體，除了更新自己的密碼之外，還需要該互聯網站管理員和創建者更新其網站的OpenSSL軟體。

為了保護自己信息的安全，客戶仍需要瞭解自己所欲訪問的網站的安全性。可使用一款叫做在線工具the Heartbleed test的測試軟體（ 網址：http://filippo.io/Heartbleed/ ）用戶只需將自己欲登陸網站的網址輸入這款軟體的對話框中，該軟體就會告知用戶這個網站是否安全。

加拿大稅務局因此在距離網上報稅終止日期三週的情況下決定關閉其網上報稅通道。 美國稅務局表示他們沒有受到影響， 網上免費報稅軟體TurboTax星期三（9 日）表示他們沒有受到Heartbleed 漏洞的影響。

推特和亞馬遜網站表示他們的網站是安全的。擁有12億用戶的臉書雖然認為自己更新後的軟體足以抵禦Heartbleed，但是仍然鼓勵用戶藉此機會設置一個與眾不同的臉書密碼，而且最好不要與其他網站共用密碼。

（責任編輯：李緣）