互联网曝心脏出血漏洞 门锁出问题多少网站“裸奔”
在过去的两天里,互联网曝出的一项漏洞,让一些安全专家和黑客难眠。其原因在于一个被黑客社区命名为“心脏出血”的漏洞,利用该漏洞,黑客可以实时获取用户登录账号和密码。 “这对黑客来说是千载难逢的好机会,对安全厂商也是一举成名的好机会,而互联网公司可能有一失足成千古恨的危险。”360公司副总裁、首席隐私官谭晓生说。 不过也有人认为安全公司是夸大其词,某国外安全公司中国区技术总监陈胜利认为,“心脏出血”的确是一个漏洞,这个漏洞也比较常规,但两年中一直并没有爆发,真正有能力利用这个漏洞发动攻击的也只是很小一部分黑客。 他认为,存在黑客攻击获得用户数据后过一段时间再牟利的可能性。但也不排除有些安全公司并没有做实际工作而借机炒作。而中招的互联网公司和用户小心谨慎、宁可信其有不可信其无的心态还是值得赞许的。 “出血”搅动互联网“心脏” 所谓“心脏出血”,指的是OpenSSL源代码出现的一个漏洞。这一漏洞的存在,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。 谭晓生称,OpenSSL是互联网上应用最广泛的安全传输办法,“它是互联网上销量最大的门锁”,各大网银、在线支付、电商网站和门户网站都在使用,一旦这个门锁出现问题,几乎所有的重要的网站都会“裸奔”。 安全公司Codenomicon和谷歌安全工程师发现了OpenSSL源代码的这个漏洞,并提交给相关管理机构,随后官方很快发布了漏洞的修复方案。OpenSSL大约两年前就已经存在这一缺陷。 SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。当用户访问网络银行等安全网站时,就会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。如果不法分子监听了用户的对话,也只能看到一串随机字符串,而无法了解电子邮件、Facebook帖子、信用卡账号或其他隐私信息的具体内容。 OpenSSL是基于SSL的一个开源免费软件,由于免费和易用,风靡互联网,很多网站都在使用这一技术。 很多隐私信息都储存在服务器的内存中,攻击者通过模式匹配信息进行分类整理后,可以找出密码以及信用卡号等个人信息。 大量中国网站中枪 安全网站ZOOMEYE扫描了整个世界的服务器,做了一次整体的“体检”。中国有33303台服务器存在漏洞,美国则有24万台服务器可能有问题,12306铁路客户服务中心、微信公众号、支付宝和淘宝等都受到影响,但均已修复。 阿里小微金融服务集团首席风险官、阿里巴巴集团副总裁胡晓明告诉中国青年报记者:“OpenSSL是昨天爆发的,我们已经完全修复了在OpenSSL出现漏洞以后安全信息的泄露问题。我们除了OpenSSL加密机制以外,还有自己的加密机制,来确保客户账号的安全。” 360公司宣称,这一漏洞至少影响2亿中国网民,一批使用https登录方式的主流网站有三成中招,包括大家最常用购物、网银、社交等知名网站和服务。 “心脏出血”漏洞最大的危害之一是,黑客获得用户的信息并不着急发起攻击,用户和网站本身也不知道自己的资料泄露,一旦在未来某刻危机爆发,将是连锁性大规模的安全事件。 互联网还安全吗 谭晓生称,这次漏洞造成的巨大问题并不能由用户自己解决,很多网站的服务器被攻击,即便用户做好防范,但黑客会直接从网站服务器上获取用户的账户和密码,中国大约有3万台服务器存在该漏洞。7日、8日访问过这些服务器的用户面临很大的安全风险。 谭晓生建议,网站要赶紧升级,现在检测到的只有一小半网站升级,大网站反应迅速连夜升级,但中小网站和政府网站还有一大半没有升级。有些网银修复需要两天时间,登陆网银的时候要特别小心。 如果这两天用户曾经登录过需要账号的网站或者网银等,用户需要看看这些网站修复没有,对于已修复的网站,其用户应该修改密码,如果网站还没有修改漏洞的话,修改密码也是无用的。 网络安全企业、北京知道创宇信息技术有限公司研究部总监余弦建议在确认有关网站安全之前,不要使用网银、电子支付和电商购物等功能,以避免用户密码被钻了漏洞的黑客捕获。 安全专家建议,在此漏洞得到修复前,暂时不要在受到漏洞影响的网站上登录账号。 这次事件是不是表明互联网不再安全? 谭晓生认为,OpenSSL软件有纰漏,并不代表SSL全球的安全协议标准出现漏洞。也不应该对开源软件和安全协议标准产生怀疑和不信任。没有绝对安全的加密算法,开源其实意味着接受所有人的审查,所以出现漏洞几率相当少。 “越是遇到类似今日的情况越要为开源社区提供鼓励和帮助,现在的一分帮助能为你换来下一个十年乃至二十年的安全网络。”有安全专家呼吁。 |
关键词:互联网,漏洞 |