全球網際網路廣泛使用的安全協議OpenSSL被爆出嚴重的安全漏洞,這個被命名為HeartBleed(心臟在流血)的漏洞帶來了一次堪稱網際網路史上最大的安全危機:利用這一漏洞,黑客攻擊者可以獲取用戶的密碼,或利用密鑰假冒伺服器,欺騙用戶泄露密碼和其他敏感信息。(網路圖片)
【看中國2014年04月15日訊】(看中國記者楊正綜合報導)剛剛過去的4月8日將永載網際網路史冊。這一天,服役13 年的 Windows XP 操作系統正式宣布退役;而更具震撼的消息,是全球網際網路廣泛使用的安全協議OpenSSL在這一天被爆出嚴重的安全漏洞,這個被命名為HeartBleed(心臟在流血)的漏洞帶來了一次堪稱網際網路史上最大的安全危機:利用這一漏洞,黑客攻擊者可以獲取用戶的密碼,或利用密鑰假冒伺服器,欺騙用戶泄露密碼和其他敏感信息。
這個漏洞的最大風險在於:全球幾乎所有的主流網站如Google、facebook及Yahoo等都採用OpenSSL來保護用戶的個人隱私,因此都受到了不同程度的影響,就連NASA(美國航空航天局)也已宣布,該漏洞致使用戶資料庫遭到泄露。而在中國大陸受影響的公司則更多,據統計,目前受影響的網站包括微信、淘寶、支付寶、QQ平臺、網銀、京東、蘑菇街、比特幣中國、蘇寧易購、網易126、微博、163郵箱、盛大等主流網站。
漏洞曝光 微信淘寶「中招」
更讓人焦慮的是,最受中國用戶關注的微信和淘寶網站,以及大陸網站基本都支持的網銀支付和在線支付,可能都已遭到黑客的攻擊,用戶的支付密碼或已被黑客盜取。由於該漏洞即使被入侵也不會在伺服器日誌中留下痕跡,因此上述的黑客攻擊如果真的發生,微信、淘寶及銀聯將無法定位用戶的損失和確認泄漏信息,也無法通知用戶進行補救。
例如,用戶近期如果使用微信、淘寶或在線支付在網上進行了購物操作,那麼微信、淘寶或在線支付網站存在OpenSSL安全漏洞,會使用戶的支付密碼被黑客輕易獲取而且不留痕跡,然後在用戶不察覺的時候竊取用戶的銀行資金。
這一切對於用戶及網際網路服務商來說,無異於一場可怕的網際網路「核危機」;而且最可怕的是:你只知道它存在,但並不知道它是否已發生,或何時發生。
OpenSSL,是為網路通信提供安全及數據完整性的一種安全協議,是一種開放源碼的SSL協議,用來實現網路通信的高強度加密,現在被廣泛地用於各種網路應用程序中。換句話講,OpenSSL其實就是網際網路上絕大多數用戶使用的鎖,而HeartBleed(心臟在流血)的漏洞,使這把鎖出了問題,這就好像你背靠著城牆與敵人戰鬥,突然敵人用你的鎖打開了城門,隨後城牆垮了。
為了驗證該漏洞的風險,信息安全公司Fox-IT的羅納德·普林斯(RonaldPrins)和另一名開發者斯科特•加洛維(ScottGalloway)利用該漏洞模擬攻擊了Yahoo網站,通過Twitter公布了結果:「在運行Heartbleed腳本5分鐘時間,就獲得了yahoo電子郵箱的200個用戶名和密碼。」Yahoo隨後緊急修補了該漏洞,並在網上發表了申明。
升級修復 風險依然猶存
幾乎就在同時,即4月8日「心臟在流血」的漏洞公布之後,全球的黑客、運維主管、安全廠商們,幾乎都在這一時間開始聞「血」而動:黑客開始瘋狂的攻擊以收集用戶數據。有黑客在網上迅速詳細公布了舊版本OpenSSL的安全漏洞機制,並描述得非常詳細,很快就在網際網路界內傳開;隨後有其他黑客更新發布了舊版本OpenSSL的‘傻瓜攻擊’---這意味著非專業技術人員只要依樣畫葫蘆就能利用漏洞從伺服器內竊取數據。
而運維廠商們4月8日則在連夜開始緊急預警修復升級系統版本以抵抗黑客攻擊。無異於一場「網際網路世界大戰」場面頗為壯觀……而普通網民們卻毫不知情。據《IDC評測網》4月10日報導,根據zoomeye系統掃瞄,中國全境至少有33303臺伺服器受本次OpenSSL漏洞影響,國內知名網站幾乎無一倖免,首當其衝的是微信、淘寶和支付寶,受影響的用戶人數將近2.4億。
目前微信、支付寶、淘寶、QQ平臺、網易等網站已宣布修復了該漏洞,但對普通用戶來說,修復並不意味著風險消失,因為微信、支付寶和淘寶等網站無法告訴用戶,他們的賬戶及密碼是否已經泄露。
更為嚴重的是該漏洞實際出現在2012年。而這兩年多來,誰也不知道是否已經有黑客利用漏洞獲取了用戶資料。目前看來,該漏洞確已被很多黑客利用。網路安全領域資深人士透露,由於OpenSSL漏洞的出現,8日、9日的地下交易市場中,各種兜售非法數據的交易顯得異常火爆。此外安全協議OpenSSL最新漏洞的影響仍在持續發酵,截至目前仍有許多網站尚未完成漏洞修復。
隱私安全 用戶如何防護
如前所述,儘管目前微信、淘寶等各大網站都升級修復了該漏洞,但這只是對未來進行防護;對於已經發生的用戶數據丟失,微信和淘寶等網站無法知道是誰竊取了用戶信息,也無法追究法律責任,因為黑客可以不留痕跡透過這個漏洞,看到未加密的原始內容,這情況下即使用戶更改密碼,或設置複雜密碼都沒用,因為整個資料偷竊過程在未加密開始前已經發生了。因此這場安全漏洞帶來的風險仍然可能長期存在。
此外,這個「核彈」級的安全漏洞在2012年被發現,但為何在2年之後才被曝光?該事件背後是否政府支持或另有隱情?在這2年中發生全球過多起黑客攻擊的事件,有多少與該漏洞有關?這一系列問題目前都已成為媒體和公眾關注的焦點。
這場災難對於中國大陸6.2億網民、以及許多使用微信、淘寶應用的海外華僑來說,無疑都值得警醒和反思:當我們一直認為安全的一切,突然之間都變得不安全了,作為普通用戶來說,將如何面對?
有業內人士認為,對於普通網民來說,預防此類風險最有效的方法,是保護自己的個人信息。在相關網站升級修復前,建議暫且不要登錄網購、支付類介面賬戶,尤其是對那些沒有明確採取補救措施的網站,更應該謹慎避免泄密風險。對於一些已經完成升級的網站,用戶應當盡快登錄網站更改自己的密碼等重要信息。除此之外,密切關注未來數日內的財務報告。因為攻擊者可以獲取伺服器內存中的信用卡信息,所以要關注銀行報告中的陌生扣款。
来源:
看完那這篇文章覺得
排序