您现在的位置:首页 >> 滚动 >> 正文
年度最严重网络漏洞波及2亿网民 业内比喻核弹级
发表时间:2014年4月10日 11:41 来源:中国广播网 责任编辑:编 辑:麒麟

据中国之声《新闻纵横》报道,这两天,有种感觉,我们的计算机常识不停被刷新,为什么这么说呢?Windows XP停止服务的话题余温未退,OpenSSL存在漏洞的消息又铺天盖地而来。其实,OpenSSL就是互联网上销量最大的锁。有了这个“锁”的保护,第三方就无法读取你与访问网站之间的任何通讯信息。比如信用卡密码、电子邮件等等……可是,最近这把重要的“锁”出现了问题,成为不用钥匙便可打开的废锁。

某国外安全公司近日发布报告称,许多网站使用的为了防范用户密码、账号信息被泄露的OpenSSL安全协议存在漏洞,可能导致大量隐藏数据被盗取。另据谷歌研究人员透露,这种漏洞存在已有两年之久,全球三分之二的活跃网站均在使用这种存在缺陷的加密协议。据360网站安全检测平台对国内120万家经过授权的网站扫描,其中有超过1万1千个网站主机受该漏洞影响。4月7号、4月8号两天时间,共计约2亿网民访问了存在OpenSSL漏洞的网站。互联网安全锁出现漏洞会带来怎样的影响?用户利益又该如何维系?

究竟什么是OpenSSL?瞭望智库TMT研究总监王云辉介绍,如果用专业的表述,OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,它通过一种开放源代码的SSL协议,实现网络通信的高强度加密,目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。说的通俗点,这就是一个高强度加密的安全锁。

王云辉:它相当于网络安全加密的一个协议,用户和用户之间传递信息如果不加密的话,可能被人在网络上窃听,所以大家会对它进行加密再进行传送,它属于协议的一种。

然而,这个高强度加密的安全锁却被曝存在问题,作为一家安全企业研究部总监,北京知道创宇公司的余弦在国内黑客圈资历颇深。他向记者描述,这个漏洞被黑客命名为“heartbleed”,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。

余弦:就好像把一个数据库给偷了似的,把一个网站给黑了,把里面的敏感信息给得到。

利用这一漏洞,黑客坐在自己家里电脑前,就可以实时获取到很多https开头网址的用户登录账号密码,而且场地不限,比如说,黑客可以在自己的办公室,也可以在其他国家实现数据的盗用。

知名IT观察员洪波:它可能会读取仍然保存在网站服务器内存当中的用户的信用卡数据,包括支付密码的数据等等,如果是没有保存在服务器的内存当中,没有问题。所以如果你现在还在使用这种没有经过修补的安全登录服务,那么就有可能信息会被泄露。



据介绍,国内大概33000多台服务器都受到这个漏洞的影响,国际来说,有71万台主机被侵袭。大家所熟悉的很多网站都受到了影响,包括淘宝、微信公众号、YY语音、陌陌、雅虎邮件、网银等各种网站,基本上都躺着中了枪。

就连大名鼎鼎的NASA(美国航空航天局)也已宣布,用户数据库遭泄露。王云辉将这一漏洞在整个互联网中的影响比喻为核弹级。

王云辉:就像人的身体一样,比如说磕了碰了打个绷带就好了,但是这次的漏洞过去它本身是一个高度安全的协议,就好像人体的免疫系统一样,它是保证你这个人不生病的,但是现在它自己出了问题,它的应用非常广泛,从网站、到客户端、到很多交互性的网络信息传输中都在用它,就好像人体的免疫系统出了问题,那是什么病,那是艾滋病。

正如黑客给这一漏洞起的名字——heartbleed,心脏出血。漏洞被披露后,互联网的安全核心,也开始滴血。网站们开始紧急预警和修复升级,阿里巴巴给中国之声发来回复称,旗下各网站已经在第一时间进行了修复处理,目前已经处理完毕,包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。

[1]  [2]  
关于我们 | 联系我们 | 友情链接
新科技网络【京ICP备14006744号】
Copyright © 2014 Hnetn.com, All Right Reserved
版权所有 新科技网络
本站郑重声明:本站所载文章、数据仅供参考,使用前请核实,风险自负。