訊:近日互聯(lián)網(wǎng)曝出的一項(xiàng)漏洞,讓一些安全專家和黑客難眠。其原因在于一個(gè)被黑客社區(qū)命名為“心臟出血”的漏洞,利用該漏洞,黑客可以實(shí)時(shí)獲取用戶登錄賬號(hào)和密碼。黑客隨時(shí)進(jìn)入網(wǎng)站更新我們的賬號(hào)和密碼,以后還有什么安全度可言的。對(duì)于此,又多少網(wǎng)站是裸奔的呢?
不過(guò)也有人認(rèn)為安全公司是夸大其詞,某國(guó)外安全公司中國(guó)區(qū)技術(shù)總監(jiān)陳勝利認(rèn)為,“心臟出血”的確是一個(gè)漏洞,這個(gè)漏洞也比較常規(guī),但兩年中一直并沒(méi)有爆發(fā),真正有能力利用這個(gè)漏洞發(fā)動(dòng)攻擊的也只是很小一部分黑客。
360公司副總裁、首席隱私官譚曉生認(rèn)為,存在黑客攻擊獲得用戶數(shù)據(jù)后過(guò)一段時(shí)間再牟利的可能性。但也不排除有些安全公司并沒(méi)有做實(shí)際工作而借機(jī)炒作。而中招的互聯(lián)網(wǎng)公司和用戶小心謹(jǐn)慎、寧可信其有不可信其無(wú)的心態(tài)還是值得贊許的。“出血”攪動(dòng)互聯(lián)網(wǎng)“心臟”所謂“心臟出血”,指的是openssl源代碼出現(xiàn)的一個(gè)漏洞。這一漏洞的存在,可以讓攻擊者獲得服務(wù)器上64k內(nèi)存中的數(shù)據(jù)內(nèi)容。這部分?jǐn)?shù)據(jù)中,可能存有安全證書、用戶名與密碼、聊天工具的消息、電子郵件以及重要的商業(yè)文檔等數(shù)據(jù)。
譚曉生稱,openssl是互聯(lián)網(wǎng)上應(yīng)用最廣泛的安全傳輸辦法,“它是互聯(lián)網(wǎng)上銷量最大的門鎖”,各大網(wǎng)銀、在線支付、電商網(wǎng)站和門戶網(wǎng)站都在使用,一旦這個(gè)門鎖出現(xiàn)問(wèn)題,幾乎所有的重要的網(wǎng)站都會(huì)“裸奔”。安全公司codenomicon和谷歌安全工程師發(fā)現(xiàn)了openssl源代碼的這個(gè)漏洞,并提交給相關(guān)管理機(jī)構(gòu),隨后官方很快發(fā)布了漏洞的修復(fù)方案。openssl大約兩年前就已經(jīng)存在這一缺陷。
ssl是一種流行的加密技術(shù),可以保護(hù)用戶通過(guò)互聯(lián)網(wǎng)傳輸?shù)碾[私信息。當(dāng)用戶訪問(wèn)網(wǎng)絡(luò)銀行等安全網(wǎng)站時(shí),就會(huì)在url地址旁看到一個(gè)“鎖”,表明你在該網(wǎng)站上的通訊信息都被加密。這個(gè)“鎖”表明,第三方無(wú)法讀取你與該網(wǎng)站之間的任何通訊信息。在后臺(tái),通過(guò)ssl加密的數(shù)據(jù)只有接收者才能解密。如果不法分子監(jiān)聽(tīng)了用戶的對(duì)話,也只能看到一串隨機(jī)字符串,而無(wú)法了解電子郵件、facebook帖子、信用卡賬號(hào)或其他隱私信息的具體內(nèi)容。
openssl是基于ssl的一個(gè)開(kāi)源免費(fèi)軟件,由于免費(fèi)和易用,風(fēng)靡互聯(lián)網(wǎng),很多網(wǎng)站都在使用這一技術(shù)。很多隱私信息都儲(chǔ)存在服務(wù)器的內(nèi)存中,攻擊者通過(guò)模式匹配信息進(jìn)行分類整理后,可以找出密碼以及信用卡號(hào)等個(gè)人信息。大量中國(guó)網(wǎng)站中槍
安全網(wǎng)站zoomeye掃描了整個(gè)世界的服務(wù)器,做了一次整體的“體檢”。中國(guó)有33303臺(tái)服務(wù)器存在漏洞,美國(guó)則有24萬(wàn)臺(tái)服務(wù)器可能有問(wèn)題,12306鐵路客戶服務(wù)中心、微信公眾號(hào)、支付寶和淘寶等都受到影響,但均已修復(fù)。
阿里小微金融服務(wù)集團(tuán)首席風(fēng)險(xiǎn)官、阿里巴巴集團(tuán)副總裁胡曉明告訴中國(guó)青年報(bào)記者:“openssl是昨天爆發(fā)的,我們已經(jīng)完全修復(fù)了在openssl出現(xiàn)漏洞以后安全信息的泄露問(wèn)題。我們除了openssl加密機(jī)制以外,還有自己的加密機(jī)制,來(lái)確保客戶賬號(hào)的安全。”
譚曉生認(rèn)為,openssl軟件有紕漏,并不代表ssl全球的安全協(xié)議標(biāo)準(zhǔn)出現(xiàn)漏洞。也不應(yīng)該對(duì)開(kāi)源軟件和安全協(xié)議標(biāo)準(zhǔn)產(chǎn)生懷疑和不信任。沒(méi)有絕對(duì)安全的加密算法,開(kāi)源其實(shí)意味著接受所有人的審查,所以出現(xiàn)漏洞幾率相當(dāng)少。“越是遇到類似今日的情況越要為開(kāi)源社區(qū)提供鼓勵(lì)和幫助,現(xiàn)在的一分幫助能為你換來(lái)下一個(gè)十年乃至二十年的安全網(wǎng)絡(luò)。”有安全專家呼吁。
來(lái)源:中國(guó)著名品牌網(wǎng)
以上是網(wǎng)絡(luò)信息轉(zhuǎn)載,信息真實(shí)性自行斟酌。
)
