全球互联网广泛使用的安全协议OpenSSL被爆出严重的安全漏洞,这个被命名为HeartBleed(心脏在流血)的漏洞带来了一次堪称互联网史上最大的安全危机:利用这一漏洞,黑客攻击者可以获取用户的密码,或利用密钥假冒服务器,欺骗用户泄露密码和其他敏感信息。(网络图片)
【看中国2014年04月15日讯】(看中国记者杨正综合报导)刚刚过去的4月8日将永载互联网史册。这一天,服役13 年的 Windows XP 操作系统正式宣布退役;而更具震撼的消息,是全球互联网广泛使用的安全协议OpenSSL在这一天被爆出严重的安全漏洞,这个被命名为HeartBleed(心脏在流血)的漏洞带来了一次堪称互联网史上最大的安全危机:利用这一漏洞,黑客攻击者可以获取用户的密码,或利用密钥假冒服务器,欺骗用户泄露密码和其他敏感信息。
这个漏洞的最大风险在于:全球几乎所有的主流网站如Google、facebook及Yahoo等都采用OpenSSL来保护用户的个人隐私,因此都受到了不同程度的影响,就连NASA(美国航空航天局)也已宣布,该漏洞致使用户数据库遭到泄露。而在中国大陆受影响的公司则更多,据统计,目前受影响的网站包括微信、淘宝、支付宝、QQ平台、网银、京东、蘑菇街、比特币中国、苏宁易购、网易126、微博、163邮箱、盛大等主流网站。
漏洞曝光 微信淘宝“中招”
更让人焦虑的是,最受中国用户关注的微信和淘宝网站,以及大陆网站基本都支持的网银支付和在线支付,可能都已遭到黑客的攻击,用户的支付密码或已被黑客盗取。由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,因此上述的黑客攻击如果真的发生,微信、淘宝及银联将无法定位用户的损失和确认泄漏信息,也无法通知用户进行补救。
例如,用户近期如果使用微信、淘宝或在线支付在网上进行了购物操作,那么微信、淘宝或在线支付网站存在OpenSSL安全漏洞,会使用户的支付密码被黑客轻易获取而且不留痕迹,然后在用户不察觉的时候窃取用户的银行资金。
这一切对于用户及互联网服务商来说,无异于一场可怕的互联网“核危机”;而且最可怕的是:你只知道它存在,但并不知道它是否已发生,或何时发生。
OpenSSL,是为网络通信提供安全及数据完整性的一种安全协议,是一种开放源码的SSL协议,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。换句话讲,OpenSSL其实就是互联网上绝大多数用户使用的锁,而HeartBleed(心脏在流血)的漏洞,使这把锁出了问题,这就好像你背靠着城墙与敌人战斗,突然敌人用你的锁打开了城门,随后城墙垮了。
为了验证该漏洞的风险,信息安全公司Fox-IT的罗纳德·普林斯(RonaldPrins)和另一名开发者斯科特•加洛维(ScottGalloway)利用该漏洞模拟攻击了Yahoo网站,通过Twitter公布了结果:“在运行Heartbleed脚本5分钟时间,就获得了yahoo电子邮箱的200个用户名和密码。”Yahoo随后紧急修补了该漏洞,并在网上发表了申明。
升级修复 风险依然犹存
几乎就在同时,即4月8日“心脏在流血”的漏洞公布之后,全球的黑客、运维主管、安全厂商们,几乎都在这一时间开始闻“血”而动:黑客开始疯狂的攻击以收集用户数据。有黑客在网上迅速详细公布了旧版本OpenSSL的安全漏洞机制,并描述得非常详细,很快就在互联网界内传开;随后有其他黑客更新发布了旧版本OpenSSL的‘傻瓜攻击’---这意味着非专业技术人员只要依样画葫芦就能利用漏洞从服务器内窃取数据。
而运维厂商们4月8日则在连夜开始紧急预警修复升级系统版本以抵抗黑客攻击。无异于一场“互联网世界大战”场面颇为壮观……而普通网民们却毫不知情。据《IDC评测网》4月10日报道,根据zoomeye系统扫描,中国全境至少有33303台服务器受本次OpenSSL漏洞影响,国内知名网站几乎无一幸免,首当其冲的是微信、淘宝和支付宝,受影响的用户人数将近2.4亿。
目前微信、支付宝、淘宝、QQ平台、网易等网站已宣布修复了该漏洞,但对普通用户来说,修复并不意味着风险消失,因为微信、支付宝和淘宝等网站无法告诉用户,他们的账户及密码是否已经泄露。
更为严重的是该漏洞实际出现在2012年。而这两年多来,谁也不知道是否已经有黑客利用漏洞获取了用户资料。目前看来,该漏洞确已被很多黑客利用。网络安全领域资深人士透露,由于OpenSSL漏洞的出现,8日、9日的地下交易市场中,各种兜售非法数据的交易显得异常火爆。此外安全协议OpenSSL最新漏洞的影响仍在持续发酵,截至目前仍有许多网站尚未完成漏洞修复。
隐私安全 用户如何防护
如前所述,尽管目前微信、淘宝等各大网站都升级修复了该漏洞,但这只是对未来进行防护;对于已经发生的用户数据丢失,微信和淘宝等网站无法知道是谁窃取了用户信息,也无法追究法律责任,因为黑客可以不留痕迹透过这个漏洞,看到未加密的原始内容,这情况下即使用户更改密码,或设置复杂密码都没用,因为整个资料偷窃过程在未加密开始前已经发生了。因此这场安全漏洞带来的风险仍然可能长期存在。
此外,这个“核弹”级的安全漏洞在2012年被发现,但为何在2年之后才被曝光?该事件背后是否政府支持或另有隐情?在这2年中发生全球过多起黑客攻击的事件,有多少与该漏洞有关?这一系列问题目前都已成为媒体和公众关注的焦点。
这场灾难对于中国大陆6.2亿网民、以及许多使用微信、淘宝应用的海外华侨来说,无疑都值得警醒和反思:当我们一直认为安全的一切,突然之间都变得不安全了,作为普通用户来说,将如何面对?
有业内人士认为,对于普通网民来说,预防此类风险最有效的方法,是保护自己的个人信息。在相关网站升级修复前,建议暂且不要登录网购、支付类接口账户,尤其是对那些没有明确采取补救措施的网站,更应该谨慎避免泄密风险。对于一些已经完成升级的网站,用户应当尽快登录网站更改自己的密码等重要信息。除此之外,密切关注未来数日内的财务报告。因为攻击者可以获取服务器内存中的信用卡信息,所以要关注银行报告中的陌生扣款。
来源:看完这篇文章觉得
排序