数据安全漏洞的本质


数据安全漏洞的本质
软件和系统的升级在这个信息高速发展的时代似乎十分得稀松平常,但对于那些关注信息技术和安全的人来说,他们更倾向于知道这次升级是功能性的升级还是安全性的升级。因为这两种升级往往意味着不同的事态。
 
  功能性的升级往往意味着用户的体验将发生改变,功能或丰富或强大,是对于软件质量的升级,而安全性的升级往往是由于某个设计缺陷和安全隐患而发生的。据不完全统计,在许多软件中,安全性升级的比例往往会高于功能性的升级。同时,随着信息技术牵涉的范围越来越广,涉及的细节越来越多,功能性升级往往会伴随着安全性升级,甚至有的功能性的升级是为某个安全功能的实现充当前置而使用的。
 
  那么安全性升级的实质是什么?那些数据安全漏洞的本质又是什么?
 
  版本更新只为修复安全漏洞
 
  苹果在上周五推出了 iOS 7.0.6 版本更新,发布说明简短地解释了该版本将针对一个安全漏洞,即“对该漏洞享有网络特权位置的攻击者将有可能会获取或者修改 SSL/TLS 所保护的数据”进行修复。这就是该版本的低调之处,但对于对应的苹果用户而言,现在最该做的就更新你的 iPhone。
 
  然而就在该安全更新刚刚推出不久,OS X 就被爆出存在着相同的问题,而且这一消息也已经获得苹果方面确认,并称将会很快修复漏洞。
 
  如果你明白版本更新说明的全部意思,那表示你已经不止一次追寻 iOS 更新,而且是进阶级或更高级果粉。但是,如果你觉得读起来有些味同嚼蜡,那么我们将在以下为你和你的设备来一次简单的提升。
 
  什么是SSL?
 
  SSL代表安全套接字层,它是管理网络信息安全传输的常用协议,也就是说它有助于确保你的浏览器在和你最喜爱的网站服务器之间进行通信时获得私密性和安全性保证。TLS 即安全传输层协议,它是一个较新的协议,与前者基本上是相同的。总而言之,SSL / TLS 是一种加密密钥,它可以认证用户浏览器和服务器,确保数据发送到正确的客户机和服务器,加密数据以防止数据中途被窃取,维护数据的完整性,确保数据在传输过程中不被改变。简单点说,也就当你需要在 Amazon 进行交易付款时,它能够保证你的财务信息安全
 
  所有这些处理都发生在后台,当你发现在搜索栏上已经出现锁定图框时,也就是SSL / TLS生效,你就可以直接进行信息交互,这意味着你已经有了一个直接的、私人的、安全防线。
 
  苹果推出的此次更新已经为 iOS 打上了补丁,但目前尚未对 OS X 采取任何措施,虽然苹果已表示这一问题将会“很快”修复,但事实上也就意味着 Safari 或其他受影响的类似应用程序在通过客户终端和服务器之间进行数据交互时仍然存在巨大的安全风险,因为安全协议层无法保证你在网络上信息传输的安全性,这一切很容易受到中间人(黑客)的攻击。
 
  什么是中间人攻击?
 
  中间人攻击(A Man in the Middle Attack),为了简约起见我们在此称之为MitM,它实际上就是高科技窃 听。这种情况下,即一个 MitM 攻击者在一个共享的网络中拦截你在浏览器和网站服务器之间的通信、监控、记录,从中窃取你泄露的一切信息。Gmail、Facebook、金融交易的数据......所有这一切都可以完全被一个陌生人实时可读。
 
  这个安全漏洞可怕之处在哪?
 
  通常,这样的中间人攻击因受到 SSL / TLS 的阻止很难获得成功,或至少说会变得很困难。但苹果目前的这一漏洞让它变得轻而易举。版本更新说明中提到的“享有特权的网络位置”攻击者,其实通俗来说就是那些在公共场所中近距离不轨窥探你上网操作的人,也就是星巴克里喝咖啡时你的邻座。
 
  如果你抓破头皮还对这些解释心生不解并且对它所产生的破坏基本毫无概念,最简单的方法就是看看网上那些开发者如何深入浅出地公开谈论这些一向不屑被他们谈及的话题,生怕会向黑客提供更多他们现存的“弹药”。事实上,在这一漏洞被爆出前后,其实早有许多资深开发者对这一问题提出过许多相关表态。
 
  也许你可以不必太过紧张,因为黑客不会时刻潜伏在咖啡馆里时刻盯着你的个人信息,或者每一个偶尔看到你输入信息的顾客并不是存心对你的个人资料感兴趣。如果你已经为自己的 iPhone 或者 iPad 设备更新7.0.6 版本,大可放心,你很安全。但我们知道,这样已经持续一年半的困扰也只是在原理上令人不安,通过这样广泛的宣传之后,那些并未获得修复的 MacBook 用户或许会因此采取更多措施提高警惕。
 
  它是如何产生的?又是如何被发现的?
 
  没有人知道,苹果绝口不提也是可以理解的。但趁此事件仍有余温,我们不妨来挖一挖这其中可能发生事情。
 
  事实上,如果你想从一些代码中窥探缘由,那么谷歌的亚当·兰利(Adam Langley)在其个人博客中详述的此次bug有关细节或许会有所帮助。本质上,它归结为在近 2000 行代码中多出的一行简单的额外代码。正如 ZDNet 指出的,一个额外的“goto fail;”语句夹杂在大约三分之一的代码层中,这意味着SSL验证将可以在每一个事件中通过,无论密钥匹配与否。
 
  Langley 揪出了这个漏洞,是否意味着他只是资历更老道?其实不然,因为几乎有基础的人都可能会发现:这种细微的代码错误绝对可以算得上是一场噩梦。Langley 还表示,他认为这只是一个错误,我为犯错的人感到悲哀。
 
  不过,指出这个摇摇欲坠的 bug 和泄露美国NSA棱镜计划的做法一样都不需要发挥太大的想象力。可授之为苹果功臣的比约翰·格鲁伯(John Gruber)昨晚就这么做了,他首先指出了iOS 6.0上出现的 “goto fail;” 命令,这个在苹果上个月被提及的据说加入到间谍计划的代码漏洞。
 
  如果你想根据时机窥探其中原委,大可欢迎,但苹果有意添加这段代码的说法极有可能不成立。也许美国NSA只是先于苹果之前发现了这个问题并一直在暗中利用它来为棱镜计划服务,这样的说法倒是完全有可能的。