北京商报讯(记者 张绪旺 崇晓萌)在刚刚过去的几十个小时中,全球互联网领域经历了一场安全重创。随着一个代号为“Heartbleed”(即“心脏出血”)的OpenSSL安全漏洞被曝出,包括12306、微信、支付宝在内的多家中国互联网企业纷纷“中枪”。
昨日,主要负责支付宝安全业务的小微金融服务集团首席风险官胡晓明表示,经过前一日一个通宵的加班,支付宝已经完全修复了漏洞爆发后出现的安全问题。而且,支付宝不仅使用OpenSSL加密机制,同时也有自己的加密方式来确保账户的安全性。京东方面则表示,京东在4月8日较早时间就接收到了OpenSSL Heartbleed漏洞的相关信息,进行了全面排查,并于8日就完成了修补处理。截至昨日截稿时,除“YY”某服务仍处于“未修补”状态外,其他各网站均已修复完成。
资料显示,目前全球最为流行的两大服务器Apache和nginx都使用了OpenSSL加密库,这导致全球2/3的网站面临风险。网络空间搜索引擎ZoomEye昨日扫描了约3534.9万个主机,发现近71.5万个处于“易受到攻击”状态,其中33303个位于中国。在ZoomEye发布的一份“中国受影响大站列表”中,12306铁路客户服务中心、微信公众号、微信网页版、QQ邮箱、陌陌、雅虎、比特币中国、支付宝、知乎、淘宝网、360应用和“YY”某服务都名列其中,ZoomEye方面表示,该漏洞有可能是互联网领域最严重的漏洞。
昨日,360网络攻防实验室检测发现,全球开放443端口(即网页浏览端口)的主机共有超过4000万个,其中受OpenSSL“心脏出血”漏洞影响的主机有32335个。360网站卫士的OpenSSL漏洞检测平台还发现,清华大学等几所高校的某项网络服务存在“心脏出血”漏洞,同时也监测到了有来自北京联通的一个IP针对这些服务进行漏洞探测。360方面通过进一步分析发现,某高校网络服务的“心脏出血”漏洞源自于其VPN硬件设备,这是业界首次在硬件中发现该漏洞。
有国外科技博客撰稿人撰文称,“我们从攻击者的角度进行了测试,我们从外部攻击自己的主机,没有留下一点痕迹。我们没有使用任何的特殊信息或证书,就偷到了我们用于自己网站的证书密钥、用户名、密码、即时消息、电子邮件、关键业务文档和通信记录”。
360首席隐私官谭晓生坦言,目前寄希望于所有企业、机构进行自查并尽快修复漏洞并通报相关情况,但用户在企业修复漏洞前只能等待,“因为漏洞在企业服务器端,用户层面无可奈何”,而一旦企业漏洞修复完成后,用户应尽快修改相关账户登录密码。针对用户关心的哪些具体企业存在此隐患的问题,谭晓生坦言,由于数量巨大且多数小企业较差的防护能力,不宜在这些企业修复漏洞前公布给用户。“一方面是怕引发公众恐慌,而更重要的原因在于修复前公布名单无异于给黑客指了具体的攻击目标。”
尽管业界普遍认为,此次安全漏洞影响极其深远,但从目前来看,及时更新版本,避开有漏洞的OpenSSL版本就可以解决问题。金山毒霸建议,对于重要服务,用户应尽可能开通手机验证或动态密码,即便黑客抓取密码后也不能随意应用。而针对日趋严重的网络安全问题,用户密码的使用时间不宜过长,最好超过3个月就要更换。