在过去的两天里,互联网曝出的一项漏洞,让一些安全专家和黑客难眠。其原因在于一个被黑客社区命名为“心脏出血”的漏洞,利用该漏洞,黑客可以实时获取用户登录账号和密码。
“这对黑客来说是千载难逢的好机会,对安全厂商也是一举成名的好机会,而互联网公司可能有一失足成千古恨的危险。”360公司副总裁、首席隐私官谭晓生说。
不过也有人认为安全公司是夸大其词,某国外安全公司中国区技术总监陈胜利认为,“心脏出血”的确是一个漏洞,这个漏洞也比较常规,但两年中一直并没有爆发,真正有能力利用这个漏洞发动攻击的也只是很小一部分黑客。
他认为,存在黑客攻击获得用户数据后过一段时间再牟利的可能性。但也不排除有些安全公司并没有做实际工作而借机炒作。而中招的互联网公司和用户小心谨慎、宁可信其有不可信其无的心态还是值得赞许的。
“出血”搅动互联网“心脏”
所谓“心脏出血”,指的是OpenSSL源代码出现的一个漏洞。这一漏洞的存在,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。
谭晓生称,OpenSSL是互联网上应用最广泛的安全传输办法,“它是互联网上销量最大的门锁”,各大网银、在线支付、电商网站和门户网站都在使用,一旦这个门锁出现问题,几乎所有的重要的网站都会“裸奔”。
安全公司Codenomicon和谷歌安全工程师发现了OpenSSL源代码的这个漏洞,并提交给相关管理机构,随后官方很快发布了漏洞的修复方案。OpenSSL大约两年前就已经存在这一缺陷。
SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。当用户访问网络银行等安全网站时,就会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。如果不法分子监听了用户的对话,也只能看到一串随机字符串,而无法了解电子邮件、Facebook帖子、信用卡账号或其他隐私信息的具体内容。
OpenSSL是基于SSL的一个开源免费软件,由于免费和易用,风靡互联网,很多网站都在使用这一技术。
很多隐私信息都储存在服务器的内存中,攻击者通过模式匹配信息进行分类整理后,可以找出密码以及信用卡号等个人信息。
大量中国网站中枪
安全网站ZOOMEYE扫描了整个世界的服务器,做了一次整体的“体检”。中国有33303台服务器存在漏洞,美国则有24万台服务器可能有问题,12306铁路客户服务中心、微信公众号、支付宝和淘宝等都受到影响,但均已修复。
阿里小微金融服务集团首席风险官、阿里巴巴集团副总裁胡晓明告诉中国青年报记者:“OpenSSL是昨天爆发的,我们已经完全修复了在OpenSSL出现漏洞以后安全信息的泄露问题。我们除了OpenSSL加密机制以外,还有自己的加密机制,来确保客户账号的安全。”
360公司宣称,这一漏洞至少影响2亿中国网民,一批使用https登录方式的主流网站有三成中招,包括大家最常用购物、网银、社交等知名网站和服务。
“心脏出血”漏洞最大的危害之一是,黑客获得用户的信息并不着急发起攻击,用户和网站本身也不知道自己的资料泄露,一旦在未来某刻危机爆发,将是连锁性大规模的安全事件。
互联网还安全吗
谭晓生称,这次漏洞造成的巨大问题并不能由用户自己解决,很多网站的服务器被攻击,即便用户做好防范,但黑客会直接从网站服务器上获取用户的账户和密码,中国大约有3万台服务器存在该漏洞。7日、8日访问过这些服务器的用户面临很大的安全风险。
谭晓生建议,网站要赶紧升级,现在检测到的只有一小半网站升级,大网站反应迅速连夜升级,但中小网站和政府网站还有一大半没有升级。有些网银修复需要两天时间,登陆网银的时候要特别小心。
如果这两天用户曾经登录过需要账号的网站或者网银等,用户需要看看这些网站修复没有,对于已修复的网站,其用户应该修改密码,如果网站还没有修改漏洞的话,修改密码也是无用的。
网络安全企业、北京知道创宇信息技术 有限公司研究部总监余弦建议在确认有关网站安全之前,不要使用网银、电子支付和电商购物等功能,以避免用户密码被钻了漏洞的黑客捕获。
安全专家建议,在此漏洞得到修复前,暂时不要在受到漏洞影响的网站上登录账号。
这次事件是不是表明互联网不再安全?
谭晓生认为,OpenSSL软件有纰漏,并不代表SSL全球的安全协议标准出现漏洞。也不应该对开源软件和安全协议标准产生怀疑和不信任。没有绝对安全的加密算法,开源其实意味着接受所有人的审查,所以出现漏洞几率相当少。
“越是遇到类似今日的情况越要为开源社区提供鼓励和帮助,现在的一分帮助能为你换来下一个十年乃至二十年的安全网络。”有安全专家呼吁。
来源: 中国青年报
编辑: