"心脏出血"OpenSSL漏洞威胁升级,只要使用https协议的电脑手机均能被窃取隐私
一夜之间,疯狂传递。
网络不可能实现真正的安全,网络也不可能实现永远的安全 … 我们认为未来五年里或十年里网络安全会变得更加严峻。
"心脏出血"OpenSSL漏洞威胁升级,只要使用https协议的电脑手机均能被窃取隐私
"4月8日是黑客和白帽子们的不眠之夜。"有人这样形容。早上还在讨论WIN XP停止服务,到晚上已到处是OpenSSL的漏洞消息。
OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,在各大网银、在线支付、电商网站、门户网站、电子邮件等广泛使用。就是这个被许多企业和服务商用来加密数据的安全协议,爆出了本年度最严重的安全漏洞——黑客可以利用这个漏洞从服务器内存中窃取64KB数据,64KB数据量并不大,但黑客可以重复利用该漏洞,多次窃取数据,并可能因此获得用户的加密密钥,解密敏感数据。
打个比方,OpenSSL是目前互联网上应用最广"门锁",而这个漏洞让特定版本的OpenSSL成了不设防的保险箱。
漏洞的发布在一个相当危险的时间点——黑客们已经纷纷出动,而一些公司的负责人却正在睡觉。发现者们给这个漏洞起了个相当形象的名字"heartbleed",直译为"心脏出血"。这一夜,互联网的安全核心,开始滴血。
国内知名网站几无幸免
目前支付宝、淘宝已修复漏洞
这个漏洞影响究竟有多大?安全专家们不约而同地推荐参考zoomeye(钟馗之眼)的扫描数据,这是一个网络空间搜索引擎,业界公认的权威。根据zoomeye系统扫描,中国全境至少有33303台服务器受本次OpenSSL漏洞影响。网易、微信、QQ邮箱、陌陌、雅虎、比特币中国、支付宝、知乎、淘宝网、360应用、京东、YY语言……从消费到通讯、社交,国内知名网站几乎无一幸免。而很多用户毫不知情,仍然在访问着老虎嘴中的站点。
幸好,官方很快发布了漏洞的修复方案:因为这是一个旧版本OpenSSL的安全漏洞,开发者把服务器程序升级到OpenSSL1.0.1g可以解决。
应对未知风险
安全专家给出两条建议
"这个漏洞据说早在2012年就被挖掘出来,直到昨天CVE纳入编号CVE-2014-0160,8号才正式爆发。"Evi1m0也在知乎上透露,"使用HTTPS的网站大多是因为数据需加密防止嗅探等攻击的发生,漏洞爆发后彻底将这层大门打破,于是很多网站处于被监听的状态中。"
事实上,除了移动、联通等这些大型企业外,国家互联网应急中心也没有强制力确保其他公司看到预警内容,旧版本OpenSSL的安全漏洞修复时间是个不确定值。
对于普通用户怎么办呢?除了在确认有关网站安全之前,不要使用网银、电子支付和电商购物等功能,以避免用户密码被漏洞后的黑客捕获外。
安全专家们给出了两条建议:一是对重要服务,尽可能开通手机验证或动态密码,比如支付宝、邮箱等。登录重要服务,不仅仅需要验证用户名密码,最好绑定手机,加手机验证码登录。这样就算黑客拿到账户密码,登录还有另一道门槛。二是如果随着事件进展,可能受累及的网络服务在增加或更明确,建议用户修改重要服务的登录密码。而且一个密码的使用时间不宜过长,超过3个月就该换掉了。
