DC: 無論翻牆軟件,還是網上理財,都十分依賴加密功能。最近有報導指由於流行的SSL加密技術出現漏洞,有可能令黑客很容易就成功偷取到經加密的通訊內容。到底這漏洞是怎樣的?一般網民的生活如何受影響?
李: 這個叫Heartbleed的漏洞,主要影響使用OpenSSL開源加密程式庫的軟件,例如部分開放源碼軟件的網頁主機。這個漏洞主要看中OpenSSL的程式庫個別版本啟動SSL加密通訊時的Heartbeat部分出現記憶內容洩漏的情況,黑客可以不留痕跡透過這個漏洞,看到未加密的原始內容,這情況下就算密碼有多強都沒用,因為整個資料偷竊過程在未加密開始前已經發生了。
由於世界有很多網站,包括政府和銀行都使用OpenSSL的程式庫,甚至部分翻牆軟件的主機都用使用OpenSSL的功能,因此這個漏洞牽連相當廣泛,亦令相當多翻牆軟件或功能有可能會受這次漏洞所影響。
DC: 對一般用戶而言,有什麼方法確保自己不會受影響?
李: 這次漏洞比較棘手在於,這個漏洞出現的地方在主機一方,一般用戶所做十分有限。現時Facebook和谷歌都表明已經修復了漏洞,那Facebook和谷歌用戶只要更改密碼就應該不會有大問題。至於其他網站,在未表明已經修復前就暫時不要使用,在修復後才再更改密碼。
至於翻牆軟件和VPN方面,這有賴翻牆軟件和VPN供應商他們何時修補有關漏洞。在VPN方面上,依賴OpenSSL程式庫的OpenVPN的情況會比較嚴重,而不依賴OpenSSL的VPN服務,像IPSec或L2TP就不受這次OpenSSL漏洞的影響。如果你的VPN服務供應商有提供IPSec或L2TP的VPN服務,可以暫時改用這類技術,以免自己翻牆時受影響。但由於IPSec在技術上彈性不及OpenVPN,有可能在部分地方用不了翻牆服務。
在眾多翻牆軟件或技術中,除IPSec的VPN,Tor並不依賴OpenSSL的程式庫,因此這次漏洞並不會影響 Tor的表現。但其他以加密代理主機為基礎的翻牆服務,由於難免會用到OpenSSL,因此全部都會受到影響。
DC: 除了翻牆軟件以及網站,還有什麼軟件有可能受影響?
李: 除了Webmail,如果你的電郵程式可以使用加密的電郵存取服務,不論POP還是IMAP都會受影響,因為一樣都是使用OpenSSL的功能。
有部分即時信息軟件的加密功能依賴OpenSSL,因此他們都會受影響。但由於現時即時信息軟件公司並未有披露太多加密技術相關細節,因此暫時未知道主要的即時信息軟件受災程度有多嚴重。但依附Facebook的Facebook Messenger以及谷歌的Hangout,都由於他們已經修復了相關漏洞,相信不會受到這個漏洞所影響。但如果你對你所用的即時信息軟件有所疑慮的話,應該立即暫停使用,並改用暫時未見得受影響的谷歌或Facebook即時信息服務。
DC: 中國的網站會否因這次漏洞變得不安全?
李: 本來中國的網站服務,在當局的網絡內容供應商執照制度下就已經不安全,但由於這漏洞的存在,中國當局可以更無聲無息偷取用戶的資料。因此,中國當局並不會有動力鼓勵在中國的網絡服務供應商更新漏洞。甚至有可能驅使中國當局研究這漏洞的技術細節,以便中國當局可以更無聲無息偷取大家的資料。因此,如無必要,都不應使用中國為基地的網絡服務。
0:00 / 0:00