注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

JINGTAO'S BLOG

大音希声 大象无形 大美无言 大爱无疆

 
 
 

日志

 
 

OpenSSL曝重大漏洞 全球互联网心脏出血  

2014-04-10 15:06:19|  分类: 电脑博客 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
OpenSSL曝重大漏洞 全球互联网心脏出血 - 静涛 - JINGTAOS BLOG
 

全球互联网心脏出血漏洞 专家建议:暂停网购 别用网银

 

       在WindowsXP停服的同一天,网络安全协议OpenSSL曝出安全漏洞,危及全球包括银行、电商在内关键部门和普通用户财产和信息安全。这一漏洞一旦被恶意利用,意味着用户登录电商、网银的账户、密码等关键信息可能会泄露,造成财产损失。
  波及无数
  中国3万多端口受影响

  4月8日,在全球范围内,互联网发生了两件大事,分别是:微软正式宣布XP停止服务退役;OpenSSL的大漏洞曝光。如果说XP停服存隐忧的话,那么第二件事带来的威胁则近在咫尺,用户的信息安全和财产安全已直接受到威胁。
  ZoomEye最新完成的扫描数据显示,中国160万个443端口中,已有3.3万个受本次OpenSSL漏洞影响。在国外,受到波及的网站也数不胜数,连NASA(美国航空航天局)也已宣布,用户数据库遭泄露。
  安天实验室首席架构师肖新光发出警告说,“这一次,狼真的来了”。
  谁受影响
  以https开头所有站点
  一位安全行业人士透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
  北京知道创宇信息技术有限公司研究部总监钟晨鸣表示,此次漏洞会影响为数众多的使用https的网站,其中包括公众熟知并且经常访问的微信、淘宝、各个网银、社交、门户等知名网站还有邮箱。而且越是知名的大网站,越容易受到不法分子利用漏洞进行攻击。
  据介绍,这一漏洞由安全公司Codenomicon和谷歌安全工程师独立发现。发现者们给这个漏洞起了个形象的名字:heartbleed——心脏出血。
  “这个漏洞是地震级别的。”中国计算机学会信息安全专业委员会主任严明说,目前受害的用户具体数字还难以知晓,要到过后才能统计出来。“打个形象的比喻,就像家里的门很坚固也锁好了,但是发现窗户虚掩着。”
       存在两年
  损失多大无法确认

  这一漏洞被曝出后,全球的“黑客”与安全保卫者们展开了竞赛。“黑客”不停地试探各类服务器,试图从漏洞中抓取到尽量多的用户数据;安全保卫者则在尽可能短的时间里升级系统、弥补漏洞,实在来不及实施的则暂时关闭某些服务。
  然而,很多受到该漏洞威胁的公司并未认识到问题的严重性。北京知道创宇信息技术有限公司持续监测发现,一些机构升级了OpenSSL,如360、百度等;一些选择暂停SSL服务,仍继续使用其主要功能,如微信;有的为规避风险,干脆暂停网站全部服务;更有一部分根本未采取任何措施。
  钟晨鸣说,这个漏洞实际上出现于2012年,至今两年多,谁也不知道是否已经有黑客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。
  亟待反思
  国家级应急响应不力

  中国科学院相关专业人士指出,这是考验中国互联网系统应急能力的重要时刻。但从目前反应情况来看,我国重大安全事件的紧急处置及联动机制还不够健全。国家应急中心直到9日才开始联动。
  该中心一名专家坦陈,从2003年,国家应急中心就试图建立漏洞触发的相关应急工作和能力,但是这一领域的工作到现在也不够清晰,需要新的能力架构设计。“纯事件触发有时太晚太被动,2001年至2004年有很多教训,技术上存在适当前移的可能。”
  “当前最为紧急的事情,是减少损失范围。”严明说,对于政府职能部门,目前公安或者其他相关部门应当立即启动应急措施,促进通报漏洞信息,并强制推动所有受到漏洞影响的网站进行技术升级和修补。在这一阶段完成后,再对那些出现了财产侵占的非法行为进行查处追责。对于企业而言,则要第一时间作出反应,修补自身漏洞,比如该漏洞8日被公布,一些企业到了9日才开始补救,一些甚至还无动于衷。
  “心脏出血”四大恶果
  一是私钥,所有https站点的加密内容全能破解;
  二是网站用户密码,用户资产如网银隐私数据被盗取;
  三是服务器配置和源码,服务器可以被攻破;
  四是服务器“挂掉”不能提供服务。
  专家建议
  暂停网购 别用网银

  对于普通用户,安全领域专家建议,近日在相关网站升级修复前,建议暂且不要登录网购、网银账户,尤其是对那些没有明确采取补救措施的网站,更应该谨慎避免泄密风险。在网站完成修复升级后,及时修改密码,避免引发次生危害。
  新闻名词
  什么是OpenSSL
  OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议。由于它的安全性,所以被广泛用于各种网络应用程序中。目前在各大网银、在线支付、电商网站、门户网站、电子邮箱等重要领域广泛使用。但当OpenSSL自己出现漏洞而且是非常高危的漏洞时,利用这个漏洞,黑客可以轻松获得用户的cookies甚至账号和密码。

2014年04月10日 06:55
来源:深圳晚报
  评论这张
 
阅读(378)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017