本页位置:广东新闻网 > 关注 > 正文

年度最严重网络漏洞波及2亿网民 业内称其核弹级

http://www.gd.chinanews.com    2014年04月10日 09:45     来源:中国新闻网

  据中国之声《新闻纵横》报道,这两天,有种感觉,我们的计算机常识不停被刷新,为什么这么说呢?Windows XP停止服务的话题余温未退,OpenSSL存在漏洞的消息又铺天盖地而来。其实,OpenSSL就是互联网上销量最大的锁。有了这个“锁”的保护,第三方就无法读取你与访问网站之间的任何通讯信息。比如信用卡密码、电子邮件等等……可是,最近这把重要的“锁”出现了问题,成为不用钥匙便可打开的废锁。

  某国外安全公司近日发布报告称,许多网站使用的为了防范用户密码、账号信息被泄露的OpenSSL安全协议存在漏洞,可能导致大量隐藏数据被盗取。另据谷歌研究人员透露,这种漏洞存在已有两年之久,全球三分之二的活跃网站均在使用这种存在缺陷的加密协议。据360网站安全检测平台对国内120万家经过授权的网站扫描,其中有超过1万1千个网站主机受该漏洞影响。4月7号、4月8号两天时间,共计约2亿网民访问了存在OpenSSL漏洞的网站。互联网安全锁出现漏洞会带来怎样的影响?用户利益又该如何维系?

  究竟什么是OpenSSL?瞭望智库TMT研究总监王云辉介绍,如果用专业的表述,OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,它通过一种开放源代码的SSL协议,实现网络通信的高强度加密,目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。说的通俗点,这就是一个高强度加密的安全锁。

  王云辉:它相当于网络安全加密的一个协议,用户和用户之间传递信息如果不加密的话,可能被人在网络上窃听,所以大家会对它进行加密再进行传送,它属于协议的一种。

  然而,这个高强度加密的安全锁却被曝存在问题,作为一家安全企业研究部总监,北京知道创宇公司的余弦在国内黑客圈资历颇深。他向记者描述,这个漏洞被黑客命名为“heartbleed”,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。

  余弦:就好像把一个数据库给偷了似的,把一个网站给黑了,把里面的敏感信息给得到。

  利用这一漏洞,黑客坐在自己家里电脑前,就可以实时获取到很多https开头网址的用户登录账号密码,而且场地不限,比如说,黑客可以在自己的办公室,也可以在其他国家实现数据的盗用。

  知名IT观察员洪波:它可能会读取仍然保存在网站服务器内存当中的用户的信用卡数据,包括支付密码的数据等等,如果是没有保存在服务器的内存当中,没有问题。所以如果你现在还在使用这种没有经过修补的安全登录服务,那么就有可能信息会被泄露。

  据介绍,国内大概33000多台服务器都受到这个漏洞的影响,国际来说,有71万台主机被侵袭。大家所熟悉的很多网站都受到了影响,包括淘宝、微信公众号、YY语音、陌陌、雅虎邮件、网银等各种网站,基本上都躺着中了枪。

  就连大名鼎鼎的NASA(美国航空航天局)也已宣布,用户数据库遭泄露。王云辉将这一漏洞在整个互联网中的影响比喻为核弹级。

  王云辉:就像人的身体一样,比如说磕了碰了打个绷带就好了,但是这次的漏洞过去它本身是一个高度安全的协议,就好像人体的免疫系统一样,它是保证你这个人不生病的,但是现在它自己出了问题,它的应用非常广泛,从网站、到客户端、到很多交互性的网络信息传输中都在用它,就好像人体的免疫系统出了问题,那是什么病,那是艾滋病。

  正如黑客给这一漏洞起的名字——heartbleed,心脏出血。漏洞被披露后,互联网的安全核心,也开始滴血。网站们开始紧急预警和修复升级,阿里巴巴给中国之声发来回复称,旗下各网站已经在第一时间进行了修复处理,目前已经处理完毕,包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。

  另一方面,安全公司和余弦这样的以善意方式使用自身技术的黑客们,忙着测试漏洞影响并进行扩展推衍,而更多的黑客们,则抓紧时间开始享受这场盛宴,高举heartbleed作为武器,向自己久攻不下的网站发起冲锋。

  资深黑客余弦:地下黑客,他们在24小时以内,在漏洞爆发的黄金期,拿着这个漏洞满世界地刷,把漏洞影响的网站里面敏感的用户信息给刷出来。

  相比之下,最无辜的应该属普通用户。

  普通用户:其实还是有一点担心的,比如说我上网下载片子的记录。/https这个我自己很清楚,支付宝要支付的时候都会跳转到https的页面,然后就可以付款。

  普通用户:那肯定是担心啊,因为现在很多交易都是在网上操作的。如果需要的话肯定要经常性换密码。

  很多用户疑问,现在是否需要紧急修改密码?王云辉建议,对用户来说,为避免黑客再度获取密码,目前最好的办法就是等到安全公司和各大网站明确表示已经解决这一问题,再去修改。

  王云辉:账户钱挺多的用户最好的办法就是拿起电话和银行说,先暂停一下网银和快捷支付,等到过几天这个问题解决之后,再把密码改回去再恢复。

  事实上,包括携程网数据泄露在内,近期互联网安全问题频频发生,为做到防范于未然,中消协消费指导部副主任皮小林给消费者支招:

  皮小林:不要浏览不正规的网站、不要随意登记身份信息,不要轻易填写个人的详细资料,能不填写的个人信息就尽量不要填写,分级管理消费者自己的个人密码,密码的设置要务求多变。(记者 张棉棉 李赢)

  来源:中国广播网



[编辑:nimo]

分享到:4.49K

 视频资讯:《品》栏目

《品》栏目
品时尚、品文化、
品人生——品质、品位
、品牌