新闻资讯 > 资讯列表 > 当前资讯

“销量最大门锁”出问题 多少网站“裸奔”

发布时间:2014-04-14 08:27
186 次阅读

“销量最大门锁”出问题 多少网站“裸奔”

在过去的两天里,互联网曝出的一项漏洞,让一些安全专家和黑客难眠。其原因在于一个被黑客社区命名为“心脏出血”的漏洞,利用该漏洞,黑客可以实时获取用户登录账号和密码。

“这对黑客来说是千载难逢的好机会,对安全厂商也是一举成名的好机会,而互联网公司可能有一失足成千古恨的危险。”360公司副总裁、首席隐私官谭晓生说。

不过也有人认为安全公司是夸大其词,某国外安全公司中国区技术总监陈胜利认为,“心脏出血”的确是一个漏洞,这个漏洞也比较常规,但两年中一直并没有爆发,真正有能力利用这个漏洞发动攻击的也只是很小一部分黑客。

他认为,存在黑客攻击获得用户数据后过一段时间再牟利的可能性。但也不排除有些安全公司并没有做实际工作而借机炒作。而中招的互联网公司和用户小心谨慎、宁可信其有不可信其无的心态还是值得赞许的。

“出血”搅动互联网“心脏”

所谓“心脏出血”,指的是OpenSSL源代码出现的一个漏洞。这一漏洞的存在,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。

谭晓生称,OpenSSL是互联网上应用最广泛的安全传输办法,“它是互联网上销量最大的门锁”,各大网银、在线支付、电商网站和门户网站都在使用,一旦这个门锁出现问题,几乎所有的重要的网站都会“裸奔”。

安全公司Codenomicon和谷歌安全工程师发现了OpenSSL源代码的这个漏洞,并提交给相关管理机构,随后官方很快发布了漏洞的修复方案。OpenSSL大约两年前就已经存在这一缺陷。

SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。当用户访问网络银行等安全网站时,就会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。如果不法分子监听了用户的对话,也只能看到一串随机字符串,而无法了解电子邮件、Facebook帖子、信用卡账号或其他隐私信息的具体内容。

OpenSSL是基于SSL的一个开源免费软件,由于免费和易用,风靡互联网,很多网站都在使用这一技术。

很多隐私信息都储存在服务器的内存中,攻击者通过模式匹配信息进行分类整理后,可以找出密码以及信用卡号等个人信息。

大量中国网站中枪

安全网站ZOOMEYE扫描了整个世界的服务器,做了一次整体的“体检”。中国有33303台服务器存在漏洞,美国则有24万台服务器可能有问题,12306铁路客户服务中心、微信公众号、支付宝和淘宝等都受到影响,但均已修复。

阿里小微金融服务集团首席风险官、阿里巴巴集团副总裁胡晓明告诉中国青年报记者:“OpenSSL是昨天爆发的,我们已经完全修复了在OpenSSL出现漏洞以后安全信息的泄露问题。我们除了OpenSSL加密机制以外,还有自己的加密机制,来确保客户账号的安全。”

360公司宣称,这一漏洞至少影响2亿中国网民,一批使用https登录方式的主流网站有三成中招,包括大家最常用购物、网银、社交等知名网站和服务。

“心脏出血”漏洞最大的危害之一是,黑客获得用户的信息并不着急发起攻击,用户和网站本身也不知道自己的资料泄露,一旦在未来某刻危机爆发,将是连锁性大规模的安全事件。

互联网还安全吗

谭晓生称,这次漏洞造成的巨大问题并不能由用户自己解决,很多网站的服务器被攻击,即便用户做好防范,但黑客会直接从网站服务器上获取用户的账户和密码,中国大约有3万台服务器存在该漏洞。7日、8日访问过这些服务器的用户面临很大的安全风险。

谭晓生建议,网站要赶紧升级,现在检测到的只有一小半网站升级,大网站反应迅速连夜升级,但中小网站和政府网站还有一大半没有升级。有些网银修复需要两天时间,登陆网银的时候要特别小心。

如果这两天用户曾经登录过需要账号的网站或者网银等,用户需要看看这些网站修复没有,对于已修复的网站,其用户应该修改密码,如果网站还没有修改漏洞的话,修改密码也是无用的。

网络安全企业、北京知道创宇信息技术 有限公司研究部总监余弦建议在确认有关网站安全之前,不要使用网银、电子支付和电商购物等功能,以避免用户密码被钻了漏洞的黑客捕获。

安全专家建议,在此漏洞得到修复前,暂时不要在受到漏洞影响的网站上登录账号。

这次事件是不是表明互联网不再安全?

谭晓生认为,OpenSSL软件有纰漏,并不代表SSL全球的安全协议标准出现漏洞。也不应该对开源软件和安全协议标准产生怀疑和不信任。没有绝对安全的加密算法,开源其实意味着接受所有人的审查,所以出现漏洞几率相当少。

“越是遇到类似今日的情况越要为开源社区提供鼓励和帮助,现在的一分帮助能为你换来下一个十年乃至二十年的安全网络。”有安全专家呼吁。

可能感兴趣的职位

  • 文案 薪水:8000至9999 (海淀区)

    神州美味(北京)信息科技有限公司 类型:全职 招聘人数:1

    查看更多神州美味发布的招聘职位

    神州美味

    01-01-01

  • 销售工程师 薪水:3000至4499 (武汉)

    武汉噢易科技有限公司 类型:全职 招聘人数:若干

    查看更多OS-EASY发布的招聘职位

    OS-EASY

    01-01-01

  • 视频剪辑兼职 薪水:面议 (成都)

    成都云创新科技有限公司 类型:兼职 招聘人数:10

    查看更多云创新发布的招聘职位

    云创新

    01-01-01

  • 测试工程师 薪水:4500至5999 (海淀区)

    神州美味(北京)信息科技有限公司 类型:全职 招聘人数:2

    查看更多神州美味发布的招聘职位

    神州美味

    01-01-01

30+万海丁微名片用户的选择
微名片
欢迎关注海丁网精准招聘微信公众账号。it求职/it招聘就上海丁网
可能感兴趣的活动全部>
海丁微名片 - 人才地图 - IT求职 - 海丁介绍 - 客服帮助 - 友情链接 - 网站地图

海丁网 @2011-2014(沪ICP备12001151号)