Total Pageviews

Sunday 28 February 2016

翻墙问答:如何应付SSL加密技术的漏洞

DC:无论翻墙软件,还是网上理财,都十分依赖加密功能。最近有报导指由于流行的SSL加密技术出现漏洞,有可能令黑客很容易就成功偷取到经加密的通讯内容。到底这漏洞是怎样的?一般网民的生活如何受影响?

李:这个叫Heartbleed的漏洞,主要影响使用OpenSSL开源加密程式库的软件,例如部分开放源码软件的网页主机。这个漏洞主要看中 OpenSSL的程式库个别版本启动SSL加密通讯时的Heartbeat部分出现记忆内容泄漏的情况,黑客可以不留痕迹透过这个漏洞,看到未加密的原始 内容,这情况下就算密码有多强都没用,因为整个资料偷窃过程在未加密开始前已经发生了。

由于世界有很多网站,包括政府和银行都使用OpenSSL的程式库,甚至部分翻墙软件的主机都用使用OpenSSL的功能,因此这个漏洞牵连相当广泛,亦令相当多翻墙软件或功能有可能会受这次漏洞所影响。

DC:对一般用户而言,有什么方法确保自己不会受影响?

李:这次漏洞比较棘手在于,这个漏洞出现的地方在主机一方,一般用户所做十分有限。现时Facebook和谷歌都表明已经修复了漏洞,那Facebook和谷歌用户只要更改密码就应该不会有大问题。至于其他网站,在未表明已经修复前就暂时不要使用,在修复后才再更改密码。

至于翻墙软件和VPN方面,这有赖翻墙软件和VPN供应商他们何时修补有关漏洞。在VPN方面上,依赖OpenSSL程式库的OpenVPN的情况会比较 严重,而不依赖OpenSSL的VPN服务,像IPSec或L2TP就不受这次OpenSSL漏洞的影响。如果你的VPN服务供应商有提供IPSec或 L2TP的VPN服务,可以暂时改用这类技术,以免自己翻墙时受影响。但由于IPSec在技术上弹性不及OpenVPN,有可能在部分地方用不了翻墙服 务。

在众多翻墙软件或技术中,除IPSec的VPN,Tor并不依赖OpenSSL的程式库,因此这次漏洞并不会影响 Tor的表现。但其他以加密代理主机为基础的翻墙服务,由于难免会用到OpenSSL,因此全部都会受到影响。

DC:除了翻墙软件以及网站,还有什么软件有可能受影响?

李:除了Webmail,如果你的电邮程式可以使用加密的电邮存取服务,不论POP还是IMAP都会受影响,因为一样都是使用OpenSSL的功能。

有部分即时信息软件的加密功能依赖OpenSSL,因此他们都会受影响。但由于现时即时信息软件公司并未有披露太多加密技术相关细节,因此暂时未知道主要 的即时信息软件受灾程度有多严重。但依附Facebook的Facebook Messenger以及谷歌的Hangout,都由于他们已经修复了相关漏洞,相信不会受到这个漏洞所影响。但如果你对你所用的即时信息软件有所疑虑的 话,应该立即暂停使用,并改用暂时未见得受影响的谷歌或Facebook即时信息服务。

DC:中国的网站会否因这次漏洞变得不安全?

李:本来中国的网站服务,在当局的网络内容供应商执照制度下就已经不安全,但由于这漏洞的存在,中国当局可以更无声无息偷取用户的资料。因此,中国当局并 不会有动力鼓励在中国的网络服务供应商更新漏洞。甚至有可能驱使中国当局研究这漏洞的技术细节,以便中国当局可以更无声无息偷取大家的资料。因此,如无必 要,都不应使用中国为基地的网络服务。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-heartbleed-04112014104800.html?encoding=simplified