您现在的位置:首页 >> 滚动 >> 正文
OpenSSL漏洞波及国内3万多家网站
发表时间:2014年4月13日 11:30 来源:中国经营报 责任编辑:编 辑:麒麟

吴文婷

2014年4月8日,在互联网世界发生了两件大事,除了微软正式宣布XP停止服务退役之外,更令人关注的是OpenSSL的大漏洞曝光。

OpenSSL的大漏洞是由Codenomicon和谷歌安全部门的研究人员独立发现的。为了将影响降到最低,研究人员已经与OpenSSL团队和其他关键的内部人士展开了合作,在公布该问题前就已经准备好修复方案。

某网站安全检测平台对国内120万家经过授权的网站扫描,其中有3万多个网站主机受漏洞影响。4月7日、4月8日期间,共计约两亿网友访问了存在漏洞的网站。目前,大部分网站和支付平台已经完成了修复工作。

急补“心脏出血”漏洞

出现漏洞后,让特定版本的OpenSSL成为无需钥匙即可开启的废锁,入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据。

OpenSSL被曝出的安全漏洞在黑客社区中被命名为“心脏出血”。利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到很多https开头网址的用户登录账号密码,包括网银、知名购物网站、电子邮件等信息。

据了解,OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,在中国的金融类网站、电商网站、门户网站上均广泛使用,被形容为“互联网上销量最大的门锁”。

然而,出现漏洞后,让特定版本的OpenSSL成为无需钥匙即可开启的废锁,入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据。

“OpenSSL‘心脏出血’漏洞为本年度互联网上最严重的安全漏洞,影响至少两亿中国网民,初步评估一批https登录方式的主流网站,有不少于30%的网站中招,其中包括大家最常用的购物、网银、社交、门户、微博、微信、邮箱等知名网站和服务。” 360安全专家石晓虹博士表示。

自这个漏洞被曝出后,安全专家们与黑客已经展开了激烈竞赛。腾讯方面称,“公司已在第一时间进行处理,目前相关的产品业务如邮箱、财付通、QQ、微信等都已经修复完毕,大家可以放心使用。”雅虎发言人表示,“我们的团队已经在雅虎的各个主要网站上成功完成修复,我们正在针对公司旗下其他的网站实施修复。”谷歌回应:“公司已对SSL的弱点进行了评估,并对关键服务发布了补丁程序。”此外,包括12306网站、陌陌、知乎、淘宝网、360应用等也已经完成修复。

除了各大网站之外,受影响的另一方则是在线支付。4月9日,中国金融认证中心(CFCA)官方网站挂出文章,针对OpenSSL漏洞对网银的影响进行了说明。“网银系统均使用商业级的SSL加密设备,很少有采用类似OpenSSL这样的开源软件,因此受到的影响较少。而对于普通用户,U盾可以完全放心使用。对于不能确认的网站,可通过一些免费的在线工具验证一下访问的网站是否存在这个漏洞。如果存在此漏洞的话,先暂停访问,等待漏洞得到修复。”

事实上,OpenSSL的漏洞早在两年前就出现了,有业内人士担忧不知道是否已有黑客利用漏洞获取了用户资料,而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。

艾媒CEO张毅在接受《中国经营报》记者采访时表示,对此次漏洞事件持乐观态度。“之前黑客盗取数据的情况应该会有,但是到目前为止没有出现大面积的泄露和资金流失,至少说明情况不是很严重。另外,现在大家重视起来,主流服务平台都会进行修复升级,所以以后的问题应该也不会特别大。”

商业机会涌现

[1]  [2]  
关于我们 | 联系我们 | 友情链接
新科技网络【京ICP备14006744号】
Copyright © 2014 Hnetn.com, All Right Reserved
版权所有 新科技网络
本站郑重声明:本站所载文章、数据仅供参考,使用前请核实,风险自负。