肩垫厂家
免费服务热线

Free service

hotline

010-00000000
肩垫厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

网络心脏出血密码堪忧

发布时间:2020-02-10 23:45:05 阅读: 来源:肩垫厂家

8日晚,“黑客”迎来狂欢之夜,网络安全协议OpenSLL曝出安全漏洞,让他们借机肆意扫描网站数据库,用户登录电商、网银的账户、密码等关键信息可能会泄露,造成财产损失。黑客和安全保卫者正在进行“你盗我堵”的疯狂赛跑,在这一过程中,也暴露出我国在网络安全防护方面存在软肋。

网络地震来袭

微信淘宝网银均会受影响

一位安全行业人士在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站

4月8日,互联网发生了两件大事,分别是:微软正式宣布XP停止服务退役;OpenSSL的大漏洞曝光。如果说XP停服存隐忧的话,那么第二件事带来的威胁则近在咫尺,用户的信息安全和财产安全已直接受到威胁。

ZoomEye最新完成的扫描数据显示,全国160万个443端口中,已有3.3万个受本次OpenSSL漏洞影响。在国外,受到波及的网站也数不胜数,连NASA(美国航空航天局)也已宣布,用户数据库遭泄露。

一安全行业人士透露,他在某著名电商网站用这个漏洞尝试读取数据,读取200次后获得40多个用户名、7个密码,用这些密码,他成功地登录了该网站。

北京知道创宇信息技术有限公司研究部总监钟晨鸣表示,此次漏洞会影响为数众多的使用https的网站,其中包括公众熟知并且经常访问的微信、淘宝、各个网银、社交、门户等知名网站。而且越是知名的大网站,越容易受到不法分子利用漏洞进行攻击。

据介绍,这一漏洞的发现者们给这个漏洞起了个形象的名字:heartbleed——心脏出血。

“这个漏洞是地震级别的。”中国计算机学会信息安全专业委员会主任严明说,目前受害的用户具体数字还难以知晓,要到过后才能统计出来。“打个形象的比喻,就像家里的门很坚固也锁好了,但是发现窗户虚掩着。”

威胁长期存在

并非此次修复漏洞就安全

该漏洞即使被入侵也不会在服务器日志中留下痕迹,攻击者可以利用已获得的数据进行更大程度上的破坏

8日夜,被安全领域业内称为是“‘黑客’的狂欢之夜”。

漏洞曝出后,全球的“黑客”与安全保卫者展开了竞赛。“黑客”不停地试探各类服务器,试图从漏洞中抓取尽量多的用户数据;安全保卫者则在尽可能短的时间里升级系统、弥补漏洞。

网络安全专家、南京翰海源信息技术有限公司创始人方兴说,通过这个漏洞,可以泄露以下四方面内容:一是私钥,所有https站点的加密内容全能破解;二是网站用户密码,用户资产如网银隐私数据被盗取;三是服务器配置和源码,服务器可以被攻破;四是服务器“挂掉”不能提供服务。

然而,很多公司并没认识到问题的重要性。北京知道创宇信息技术有限公司持续监测发现,一些机构升级了OpenSSL,如360、百度等;一些选择暂停SSL服务,仍继续使用其主要功能,如微信;有的为规避风险,干脆暂停网站全部服务;更有一部分根本没有采取任何措施。

钟晨鸣说,这个漏洞实际上出现于2012年,至今两年多,谁也不知道是否已有黑客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。

相对于当前可能出现的信息泄密和财产损失,方兴说,它的影响将是持久深远的,并不是此次修复漏洞后就安全了,攻击者还可以利用获得的数据进行更大程度上的破坏。

网安存在软肋

国家级应急响应亟待优化

从2003年起,国家应急中心就试图建立漏洞触发的相关应急工作和能力,但这一领域的工作到现在也不够清晰

国家应急中心直到9日才开始联动。中心一名专家坦陈,2003年起,国家应急中心就试图建立漏洞触发的相关应急工作和能力,但是这一领域的工作到现在也不够清晰,需要新的能力架构设计。“纯事件触发有时太晚太被动,2001年至2004年有很多教训,技术上存在适当前移的可能。”

中科院相关专业人士指出,这是考验我国互联网系统应急能力的重要时刻。出于安全考虑,政府有关职能部门应在第一时间向全国发出警报。能否在此次突发事件中有所作为,是对相关部门的一块试金石。但从目前反应情况来看,我国重大安全事件的紧急处置及联动机制还不够健全。

“当前最为紧急的事情,是减少损失范围”,严明说,对于政府职能部门,目前公安或者其他相关部门应当立即启动应急措施,促进通报漏洞信息,并强制推动所有受到漏洞影响的网站进行技术升级和修补。在这一阶段完成后,再对那些出现了财产侵占的非法行为进行查处追责。对于企业而言,则要第一时间做出反应,修补自身漏洞,比如该漏洞8日被公布,一些企业到了9日才开始补救,一些甚至还无动于衷。

对于普通用户,安全领域专家建议,近日在相关网站升级修复前,建议暂且不要登录网购、网银账户,尤其是对那些没有明确采取补救措施的网站,更应该谨慎避免泄密风险。在网站完成修复升级后,及时修改密码,避免引发次生危害。

多个电商均称不受影响

安全专家提醒仍需小心

“OpenSSL”漏洞到底有多少网站受影响?据互联网安全公司360(下简称“360”)介绍,“心脏出血”漏洞将影响至少两亿中国网民。

据360介绍,全球开放443端口的主机共有40041126个,受OpenSSL“心脏出血”漏洞影响的主机有32335个,连北京大学和清华大学都存在“心脏出血”漏洞。360已经紧急通知清华大学和北京大学进行修复。

不过,电商企业纷纷表示未受到影响,或已修复处理完毕。其中,1号店方面表示,公司的技术人员4月8日已经充分评估过该漏洞对1号店系统的影响,目前1号店在线业务系统都是安全的,不受该漏洞的任何影响。阿里巴巴(滚动资讯)表示,旗下包括淘宝、天猫等电商平台并未受到事件波及。支付宝相关负责人向记者表示,并未受到安全漏洞影响。腾讯方面则称,目前相关的产品业务如邮箱、财付通、QQ、微信等都已经修复完毕,“大家可以放心使用。”

不过金山毒霸安全专家李铁军认为,目前尚无法准确评估黑客利用漏洞获得了多少数据,因此普通用户仍然需要小心为上。李铁军表示,对重要服务,尽可能开通手机验证或动态密码,比如支付宝、邮箱等,登录重要服务,不仅需要验证用户名密码,最好绑定手机,加手机验证码登录。李铁军还建议用户修改重要服务的登录密码,“一个密码的使用时间不宜过长,超过3个月就该换掉了。”

通过这个漏洞可能泄露的内容:

1.

私钥,所有https站点的加密内容全能破解;

2.

网站用户密码,用户资产如网银隐私数据被盗取;

3.

服务器配置和源码,服务器可以被攻破;

4.

服务器“挂掉”不能提供服务。

网络安全专家建议:

企业

第一时间做出反应,修补自身漏洞。

普通用户

近日在相关网站升级修复前,暂且不要登录网购、网银账户,尤其是对那些没有明确采取补救措施的网站,更应该谨慎避免泄密风险。在网站完成修复升级后,及时修改密码,避免引发次生危害。

广州工作签证证明

工商税务服务

注册公司章程

相关阅读