您當前的位置:首頁 > 科技 > IT屆

銷量最大門鎖出問題,多少網站裸奔

2014-04-11 12:07:42 來源: 中國青年報 作者:
摘要:在過去的兩天里,互聯網曝出的一項漏洞,讓一些安全專家和黑客難眠。其原因在于一個被黑客社區命名為“心臟出血”的漏洞,利用該漏洞,黑客可以實時獲取用戶登錄賬號和密碼。“這對黑客來說是千載難逢的好機會,對安全廠商也是一舉成名的好機會,而互聯網公司

  在過去的兩天里,互聯網曝出的一項漏洞,讓一些安全專家和黑客難眠。其原因在于一個被黑客社區命名為“心臟出血”的漏洞,利用該漏洞,黑客可以實時獲取用戶登錄賬號和密碼。

  “這對黑客來說是千載難逢的好機會,對安全廠商也是一舉成名的好機會,而互聯網公司可能有一失足成千古恨的危險。”360公司副總裁、首席隱私官譚曉生說。

  不過也有人認為安全公司是夸大其詞,某國外安全公司中國區技術總監陳勝利認為,“心臟出血”的確是一個漏洞,這個漏洞也比較常規,但兩年中一直并沒有爆發,真正有能力利用這個漏洞發動攻擊的也只是很小一部分黑客。

  他認為,存在黑客攻擊獲得用戶數據后過一段時間再牟利的可能性。但也不排除有些安全公司并沒有做實際工作而借機炒作。而中招的互聯網公司和用戶小心謹慎、寧可信其有不可信其無的心態還是值得贊許的。

  “出血”攪動互聯網“心臟”

  所謂“心臟出血”,指的是OpenSSL源代碼出現的一個漏洞。這一漏洞的存在,可以讓攻擊者獲得服務器上64K內存中的數據內容。這部分數據中,可能存有安全證書、用戶名與密碼、聊天工具的消息、電子郵件以及重要的商業文檔等數據。

  譚曉生稱,OpenSSL是互聯網上應用最廣泛的安全傳輸辦法,“它是互聯網上銷量最大的門鎖”,各大網銀、在線支付、電商網站和門戶網站都在使用,一旦這個門鎖出現問題,幾乎所有的重要的網站都會“裸奔”。

  安全公司Codenomicon和谷歌安全工程師發現了OpenSSL源代碼的這個漏洞,并提交給相關管理機構,隨后官方很快發布了漏洞的修復方案。OpenSSL大約兩年前就已經存在這一缺陷。

  SSL是一種流行的加密技術,可以保護用戶通過互聯網傳輸的隱私信息。當用戶訪問網絡銀行等安全網站時,就會在URL地址旁看到一個“鎖”,表明你在該網站上的通訊信息都被加密。這個“鎖”表明,第三方無法讀取你與該網站之間的任何通訊信息。在后臺,通過SSL加密的數據只有接收者才能解密。如果不法分子監聽了用戶的對話,也只能看到一串隨機字符串,而無法了解電子郵件、Facebook帖子、信用卡賬號或其他隱私信息的具體內容。

  OpenSSL是基于SSL的一個開源免費軟件,由于免費和易用,風靡互聯網,很多網站都在使用這一技術。

  很多隱私信息都儲存在服務器的內存中,攻擊者通過模式匹配信息進行分類整理后,可以找出密碼以及信用卡號等個人信息。

  大量中國網站中槍

  安全網站ZOOMEYE掃描了整個世界的服務器,做了一次整體的“體檢”。中國有33303臺服務器存在漏洞,美國則有24萬臺服務器可能有問題,12306鐵路客戶服務中心、微信公眾號、支付寶和淘寶等都受到影響,但均已修復。

  阿里小微金融服務集團首席風險官、阿里巴巴集團副總裁胡曉明告訴中國青年報記者:“OpenSSL是昨天爆發的,我們已經完全修復了在OpenSSL出現漏洞以后安全信息的泄露問題。我們除了OpenSSL加密機制以外,還有自己的加密機制,來確保客戶賬號的安全。”

  360公司宣稱,這一漏洞至少影響2億中國網民,一批使用https登錄方式的主流網站有三成中招,包括大家最常用購物、網銀、社交等知名網站和服務。

  “心臟出血”漏洞最大的危害之一是,黑客獲得用戶的信息并不著急發起攻擊,用戶和網站本身也不知道自己的資料泄露,一旦在未來某刻危機爆發,將是連鎖性大規模的安全事件。

  互聯網還安全嗎

  譚曉生稱,這次漏洞造成的巨大問題并不能由用戶自己解決,很多網站的服務器被攻擊,即便用戶做好防范,但黑客會直接從網站服務器上獲取用戶的賬戶和密碼,中國大約有3萬臺服務器存在該漏洞。7日、8日訪問過這些服務器的用戶面臨很大的安全風險。

  譚曉生建議,網站要趕緊升級,現在檢測到的只有一小半網站升級,大網站反應迅速連夜升級,但中小網站和政府網站還有一大半沒有升級。有些網銀修復需要兩天時間,登陸網銀的時候要特別小心。

  如果這兩天用戶曾經登錄過需要賬號的網站或者網銀等,用戶需要看看這些網站修復沒有,對于已修復的網站,其用戶應該修改密碼,如果網站還沒有修改漏洞的話,修改密碼也是無用的。

  網絡安全企業、北京知道創宇信息技術 有限公司研究部總監余弦建議在確認有關網站安全之前,不要使用網銀、電子支付和電商購物等功能,以避免用戶密碼被鉆了漏洞的黑客捕獲。

  安全專家建議,在此漏洞得到修復前,暫時不要在受到漏洞影響的網站上登錄賬號。

  這次事件是不是表明互聯網不再安全?

  譚曉生認為,OpenSSL軟件有紕漏,并不代表SSL全球的安全協議標準出現漏洞。也不應該對開源軟件和安全協議標準產生懷疑和不信任。沒有絕對安全的加密算法,開源其實意味著接受所有人的審查,所以出現漏洞幾率相當少。

  “越是遇到類似今日的情況越要為開源社區提供鼓勵和幫助,現在的一分幫助能為你換來下一個十年乃至二十年的安全網絡。”有安全專家呼吁。

熱門推薦
返回頂部
河南福彩网 勃利县 | 界首市 | 胶南市 | 旬阳县 | 仪征市 | 达拉特旗 | 曲周县 | 伊金霍洛旗 | 渝北区 | 兴仁县 | 读书 | 平武县 | 达日县 | 长沙市 | 黔西 | 互助 | 英吉沙县 | 若尔盖县 | 金寨县 | 恭城 | 鲜城 | 台东市 | 新邵县 | 琼中 | 微山县 | 桑植县 | 共和县 | 巴彦县 | 德保县 | 长治县 | 原阳县 | 虎林市 | 台南县 | 会泽县 | 泉州市 | 望奎县 | 平远县 | 百色市 | 吴忠市 | 东乡县 | 乌兰浩特市 | 澄江县 | 襄汾县 | 郎溪县 | 睢宁县 | 涿鹿县 | 桑植县 | 高阳县 | 大英县 | 涟水县 | 通河县 | 五寨县 | 聂荣县 | 新化县 | 崇左市 | 阿勒泰市 | 贵州省 | 怀化市 | 家居 | 买车 | 定南县 | 通城县 | 大城县 | 治县。 | 花垣县 | 民县 | 英山县 | 融水 | 淮阳县 | 凤山县 | 东莞市 | 阿克苏市 | 临高县 | 新蔡县 | 安达市 | 连云港市 | 甘孜县 | 奎屯市 | 讷河市 | 法库县 | 图木舒克市 | 临清市 | 永靖县 | 深泽县 | 偏关县 | 收藏 | 崇礼县 | 鹿邑县 | 大余县 | 双桥区 | 尉犁县 | 龙南县 | 班玛县 | 怀来县 | 泸溪县 | 和平县 | 浏阳市 | 千阳县 | 齐齐哈尔市 | 清徐县 | 阿拉尔市 | 南部县 | 湖南省 | 进贤县 | 盐亭县 | 绥江县 | 丘北县 | 扶沟县 | 玉树县 | 耿马 | 郸城县 | 云浮市 | 全椒县 | 肥乡县 | 乐陵市 | 绍兴市 | 尚义县 | 重庆市 | 铜川市 | 神木县 | 南安市 | 大名县 | 延边 | 额敏县 | 丹阳市 | 西乡县 | 个旧市 | 唐河县 | 奇台县 | 彰武县 | 北票市 | 蕉岭县 | 黄骅市 | 镇安县 | 屏山县 | 镇坪县 | 吉木萨尔县 | 莱阳市 | 墨竹工卡县 | 城固县 | 雷波县 | 方城县 | 天祝 | 平遥县 | 安新县 | 金堂县 | 通河县 | 新乡市 | 洛南县 | 昌图县 | 武功县 | 西畴县 | 微山县 | 册亨县 | 沙雅县 | 安塞县 | 石嘴山市 | 临城县 | 伊金霍洛旗 | 新巴尔虎左旗 | 江阴市 | 温宿县 | 兴城市 | 石家庄市 | 新密市 | 县级市 | 若羌县 | 凉城县 | 高台县 | 东海县 | 平舆县 | 淳安县 | 积石山 | 墨竹工卡县 | 铜梁县 | 富阳市 | 屏山县 | 广灵县 | 芜湖市 | 仪陇县 | 新巴尔虎右旗 | 南宁市 | 化德县 | 阜阳市 | 苍山县 | 曲水县 | 白玉县 | 定西市 | 澜沧 | 和静县 | 梁平县 | 普宁市 | 兰溪市 | 公主岭市 | 夏河县 | 华坪县 | 竹山县 | 海伦市 | 西平县 | 本溪 | 肇源县 | 北票市 | 井陉县 | 南通市 | 莒南县 | 温泉县 | 红桥区 | 海丰县 | 武汉市 | 柘荣县 | 长泰县 | 新巴尔虎左旗 | 阳江市 | 汾阳市 | 兴安盟 | 应城市 | 东兰县 | 民勤县 | 容城县 | 永丰县 | 安龙县 | 靖江市 | 宜川县 | 资中县 | 韩城市 | 双鸭山市 | 军事 | 威远县 | 苍山县 | 游戏 | 文昌市 | 镇平县 | 隆尧县 | 林芝县 | 内江市 | 色达县 | 綦江县 | 伊通 | 青浦区 | 宿迁市 | 讷河市 | 新巴尔虎右旗 | 民勤县 | 万源市 | 牡丹江市 | 静安区 | 阜平县 | 长沙市 | 萨嘎县 | 邳州市 | 五寨县 |