4月8日公布了这个信息,一下子让很多的网友意识到,我面临巨大的挑战,是否也的确是在提醒很多小偷,也该意味着我们的不安全感其实在4月8日之后成倍增长?
杜跃进:
每一次其实都是这样的。每一次的漏洞信息的公布,其实既是在提醒我们的用户,也是在提醒攻击者,很多攻击者和我们是一样在用这样的渠道获得新的攻击的机会,所以4月8日这个信息的公布,肯定会吸引很多攻击者在大规模实施攻击,窃取用户的数据。
评论员:
到网上去拿钥匙。
杜跃进:
对。
评论员:
接着马上有人会去关心谁是最不安全的?比如说是在它这个漏洞存在了之后,还是在活跃在网络上进行消费等等是不安全的?还是几乎所有的人都是不安全的?
杜跃进:
仅仅是存在这个漏洞的期间,在网上进行了活动的人才会不安全。如果再这个期间之后或者在那之前并不会受到影响。
评论员:
但是问题是,您是否知道这个漏洞是什么时候开始的。
杜跃进:
对,用户并不太知道漏洞是什么时候开始的,至少4月8日只是一个大规模的时间。4月8日以后,到网站的漏洞被修复之前,用户去使用存在漏洞的网站肯定是危险性很高的,因为黑客就在那等着,你有很高的机率会有黑客把你的信息偷走。但是4月8日之前,可能也存在个别的攻击者也掌握这个漏洞,只是没有大规模的来偷而已。
评论员:
因此我们还不能掉易轻心,认为4月8日之前,没有进行过4月8日之后的消费你就是安全的,不一定。接下来我们要去关注,出现了一种这么大的安全隐患,有可能让我们心脏出血,谁该付起责任来?我们马上该做什么?
解说:
面对号称本年度最严重的网络安全漏洞,眼下我们最关心的是,到底该怎么办?谁可以来保护用户的安全?
记者:
你知道最近互联网上有一个网络安全漏洞这个事吗?
市民:
不知道。
市民:
经常用淘宝,但是没注意这个。
市民:
网络安全漏洞?
记者:
对。
市民:
我知道,听说过,手机微信里不也有发吗。
解说:
有数据统计,在4月7日、8日这两天,国内共有约2亿网民访问了存在漏洞的网站,他们能做的有效措施并不多。
市民:
目前我们能做的就是更新杀毒软件,别的也确实不懂,也不了解。
市民:
可能后面改改密码就这样。
市民:
直接关了。
市民:
我又不是黑客,它要真想黑我电脑那就黑呗,我能怎么着。
解说:
而截止到今天,在全国3万多个几乎涵盖了网民日常生活方方面面的存在漏洞的网站中,有70%都在漏洞曝光后,采取了修复漏洞的措施。但是,依然还有近30%至今没有采取任何措施。
董方:
它比较重视网络安全,比较大型的可能会快一些,有些网站可能本身不重视安全,或者它一时半会它也觉得这个东西对它网站没有什么影响,它可能不太重视,它就修复得比较慢一些。
解说:
面对此次网络漏洞,有专业人士建议用户更改密码。但是,更改密码就可以避免个人信息的泄露吗?
董方:
在你确认你所访问的网站没有漏洞的情况下,你再改密码。如果这个网站,你明知道它还有漏洞,然后去改密码,那还是没有用,还是会泄密。
解说:
对于网民来说,改密码也许是唯一的有效措施,但前提是要确认自己登录的网站已经对此次漏洞进行了修复,但是,这样的信息我们该从哪得到?通过查看这些大大小小的网站我们发现,它们自始至终都没有网站中提及任何与漏洞相关的风险信息。
蒋毅 跑酷网站 站长:
这个没有,因为在我们发现这个漏洞,及时把这个漏洞堵上了,这中间没有产生影响,把会产生的不好后果给避免掉了。
李继峰 “爱段子”网站站长:
我还真没考虑到,因为这个问题我们自己有时候都说不清楚,更别说给网民(提示)了。
解说:
除了这些规模比较小的网站之外,事实上,一些用户量大的网站也中了这次网络漏洞的招。京东,目前中国最大的自营式电商企业,活跃用户达到4000多万人。尽管在发现漏洞之后,京东及时进行了修复,但是在京东的网站页面上,我们同样没有看到与此相关的任何风险提示。
京东公关部负责人:
我们如果有这个情况的话就会第一时间进行修复的,其它的现在没有什么情况可以来对外发布。因为对于京东来说,我们可能没有出现多大的问题。
解说:
而对于用户数量更大的淘宝网,情况也同样如此。那么,现在的问题是,即使修复了漏洞,修改了密码,用户的个人信息就安全了吗?
评论员:
这个问号问得好,其实还有很多的问号,比如说哪些网站涉及到此次的漏洞?哪些网站已经修复?是否都需要改密码?我们何时才改密码才是最好的?接下来当然我们还是要继续连线嘉宾,网络安全应急技术,国家工程实验室的主任杜跃进。杜主任,你看,您刚才也听到了,我们很多不仅是小网站,包括很多大网站,超级大网站也都没有特别明确的提示信息,你觉得这种做法是否是合适的?
杜跃进:
其实,严格的说应该是给用户以提示。因为这件事情,一般的传统的安全检测设备很难发现到底哪个用户受到影响。本质上应该如果给用户一个提示会更好,提示应该说什么?说一下有这个漏洞,这个漏洞大概是什么,用用户能够听得懂的话,尤其是提醒在这段时间里面使用过存在漏洞网站的这些网民,应该要求他们主动更改一下密码。如果做的更进一步的话,其实是可以针对这段时间,哪些用户使用过自己的服务这个是可以知道的,应开始定向提醒这些用户存在风险,这会是一个更好的做法。
主持人:
刚才在短片的后半部分,也有个超级大的网站在接受采访的时候说了这样的一句话,其实我们没觉得发现有什么大问题,因此也不用提示,大致是这样的意思,您觉得他的说法是否是安全的?
杜跃进:
这个说法我觉得略微有点草率了。就好像我们持信用卡消费,我们走遍世界,可能走到一个地方,那个地方的信誉不太好,你在这里面刷过一次信用卡,你有很高的可能性,你的信用卡在这次刷的过程中就被别人盗了。一个更加从客户的角度来考虑的银行,会在你回来之后,或者是说你回国之后立即就告诉你,你去那个地方其实不一定安全,不一定说你的信用卡就被偷了,但是那个地方不安全,他就建议你换卡,这是从用户的角度来考虑,其实对服务方也是一个更好的做法。
评论员:
其实在这里还有一个非常关键的问题,那就是每一个用户,当他知道了这件事情之后,觉得自己的安全受到了巨大的威胁,因为毕竟是钥匙丢了,因此都想马上改密码,但是如果不告知的情况下改密码是不是有的时候还是无效的?比如说在它漏洞还没有补上的时候?
杜跃进:
对,如果是漏洞没有补之前,改密码是完全无效的,因为你改的密码还是会在服务器那里面,服务器的内存里面,这个漏洞的意思就是,攻击者可以从服务器里面非法提取一部分内存的内容,因此漏洞没有改,改了密码还有可能被偷走,所以一定要在漏洞被改了之后再来改密码。
主持人:
接下来这个问题,杜主任,就非常地具有实际性了,现在我相信,很多关注这个问题的,比如说电视机前的观众或者说网友的话,都想要问这样的问题,解决这个问题,让自己变得更加安全的合理程序应该是什么?比如说网站该做什么?接下来我再做什么?我什么时候做?
杜跃进:
其实这件事情主要攻击的还是针对网站,现在在技术分析上面,其实也可以攻击用户,但是现在大家认为这种攻击的意义其实比较小,主要是攻击网站。因此,用户自己其实可做的事情比较少,主要是这种网站应该做,而且因为它攻击的是一个只有非常重要的服务才会使用的协议,因此这些网站对用户的利益都是比较关键的,所以网站应该非常高度重视这个,用户只是需要知道这个意味着什么,应该在什么情况下做什么。就像刚才说到的,应在它修复完之后改一下口令。除此之外,其实用户还应该注意到,网站只是一方面,它还影响到一部分加密通信,影响到一部分电子邮件,所以用户还应该清一下本机的缓存。
评论员:
杜主任,这还有一个问题,是不是当网站应该执行告知信息,你修补完了这个漏洞之后,提醒在没有修补之前的时候,大家不要进行消费或者相关的流动。但是一旦修补完这个漏洞,马上要告诉消费者。作为每一个网友来说,当这个漏洞,网站把它弥补了之后,修改密码是不是必须要做的事情?
杜跃进:
我认为不见得是每一个用户都必须要做的,但是应该是在这一段时间里用过的人应该要做的。
主持人:
接下来我们要继续关注这个问题。不仅仅是从网站或者说个体用户的角度,我们已经快速地进入到了互联网的时代,从国家的战略和技术的层面上来说,怎么样去防范这种非常新型的不安全?
解说:
今天得知OpenSSL漏洞存在的广大中国网友,恐怕都要共同面临这样一个困惑。那就是,当我们打开一家网站的网页,想要输入个人信息时,如何知晓这家网站是否存在OpenSSL漏洞?又怎么知道它已经被修补过了呢?
谭晓生 360互联网安全公司副总裁:
就从总的这次受影响的中国的网站,可能会是在3万左右这个数字。今天下午的这个数字已经有几千个修了,但是还有一大半是目前没有修的。
