美国国家安全局早在2012年,也就是首次发现“心脏出血”时,就已经掌握了这一漏洞信息。遗憾的是,奥巴马政府并没有及时将这一消息公布。更让人难以接受的是,政府还将这个漏洞作为自己收集、监视用户网络数据的有利武器之一。
就在“心脏出血”漏洞还让互联网公司和普通用户人心慌慌之际,彭博社又向人们扔出了一记重磅炸弹。
据悉,美国国家安全局早在2012年,也就是首次发现“心脏出血”时,就已经掌握了这一漏洞信息。遗憾的是,奥巴马政府并没有及时将这一消息公布。更让人难以接受的是,政府还将这个漏洞作为自己收集、监视用户网络数据的有利武器之一。
SSL标准包含heartbeat选项,让SSL连接一端的计算机发出短信息(heartbeat)来确认另一台计算机仍处于联网状态并获得回复。研究人员发现,存在发送伪装的恶意heartbeat信息诱使SSL连接另一端的计算机泄露秘密信息的的可能性。也就是说计算机会被诱使传输服务器内存中的内容,这些内容包含大量隐私信息,包括登录名甚至是密码等等。因此本次OpenSSL漏洞被形象地描述为“心脏出血”(heart bleed)。
在上述消息震惊世界后,美国国家安全局在Twitter上立马语气坚定地(以往常常是用词暧昧)做出回应:“安全局在业界披露‘心脏流血’之前,并不了解这一漏洞。”
对于政府的回应,分析人士普遍持怀疑态度。
首先,NSA每年在数据收集和监听上的花费多达16亿美元,是OpenSSL开源项目的几千倍之多。作为一个互联网文件传输广泛使用的协议标准,存在如此严重的漏洞,政府专业组织不可能如此后知后觉。
其次,《纽约时报》在上述消息报道不久后爆料称,奥巴马政府在今年1月通过了一条法案:国家安全局应该将其发现的网络漏洞等安全隐患公开告诉民众。但出于某些显而易见的需要抑或是保护国家安全的需要,政府可以对一些漏洞保持沉默,并加以合理使用。
河南亿恩科技股份有限公司(www.enkj.com)始创于2000年,专注服务器托管租用,是国家工信部认定的综合电信服务运营商。亿恩为近五十万的用户提供服务器托管、服务器租用、机柜租用、云服务器、网站建设、网站托管等网络基础服务,另有网总管、名片侠网络推广服务,使得客户不断的获得更大的收益。
服务器/云主机 24小时售后服务电话:
0371-60135900
虚拟主机/智能建站 24小时售后服务电话:
0371-55621053
网络版权侵权举报电话:
0371-60135995
服务热线:
0371-60135900
