新聞類別
國際
詳情#
【明報專訊】今次出現保安漏洞的OpenSSL系統,是網上最普及的加密格式「SSL」最常見的處理軟件,香港電腦保安事故協調中心高級顧問梁兆昌向本報形容,「SSL」與「OpenSSL」的關係,就相當於「.doc」檔案格式與文書處理軟件「MS Word」的關係。他形容今次漏洞非常嚴重,一方面這項漏洞令OpenSSL加密系統形同虛設,另一方面OpenSSL相當流行,意味着潛在受影響人數極多。
黑客獲百搭匙 加密如虛設
有關今次漏洞與潛在影響的基本原理,梁兆昌解釋,黑客本身可以用戶身分接上社交網絡或網上銀行等安裝了OpenSSL的網站的伺服器,然後利用OpenSSL系統漏洞,竊取伺服器內部的記憶資料,包括「私人鑰匙」(private key)。
伺服器本身與用戶個人電腦的聯繫,便是靠公共鑰匙產生出來的「對話鑰匙」(session key)作加密,而每段「通訊」都會有不同的對話鑰匙作識別。黑客取得公共鑰匙後,便相當於取得「百搭匙」,掌握了各個通訊的對話鑰匙。換言之,我們登入電郵(伺服器)期間輸入的密碼,以及其後的通訊內容,本來得到對話鑰匙保護,現在則形同虛設,讓黑客輕鬆取得。
OpenSSL在1998年面世,不過發生問題的只限於2012年以後的版本。
梁兆昌解釋,軟件升級或改版的過程中,例如加入不同的功能,如果當中設計欠佳,就會無意造成新漏洞。
明報記者 周宏量
黑客獲百搭匙 加密如虛設
有關今次漏洞與潛在影響的基本原理,梁兆昌解釋,黑客本身可以用戶身分接上社交網絡或網上銀行等安裝了OpenSSL的網站的伺服器,然後利用OpenSSL系統漏洞,竊取伺服器內部的記憶資料,包括「私人鑰匙」(private key)。
伺服器本身與用戶個人電腦的聯繫,便是靠公共鑰匙產生出來的「對話鑰匙」(session key)作加密,而每段「通訊」都會有不同的對話鑰匙作識別。黑客取得公共鑰匙後,便相當於取得「百搭匙」,掌握了各個通訊的對話鑰匙。換言之,我們登入電郵(伺服器)期間輸入的密碼,以及其後的通訊內容,本來得到對話鑰匙保護,現在則形同虛設,讓黑客輕鬆取得。
OpenSSL在1998年面世,不過發生問題的只限於2012年以後的版本。
梁兆昌解釋,軟件升級或改版的過程中,例如加入不同的功能,如果當中設計欠佳,就會無意造成新漏洞。
明報記者 周宏量
留言 (0)
