高危漏洞“心臟流血”突襲互聯(lián)網(wǎng)
這兩天,蚌埠女孩王曉蕙(化名)告訴記者,她在糾結(jié)到底要不要更改網(wǎng)站賬戶密碼。因為4月8日早上,她上淘寶網(wǎng)買下了心儀很久的小家電,但當(dāng)天就爆出消息稱,一個名為OpenSSL的基礎(chǔ)網(wǎng)絡(luò)傳輸軟件存在重大漏洞,用戶登錄網(wǎng)銀、購物網(wǎng)站、電子郵件等,都可能會泄露賬戶密碼。
針對這個漏洞,不少計算機專家表示,用戶不用過于擔(dān)憂,這個漏洞的修復(fù)并不復(fù)雜。另外,若網(wǎng)站公布修復(fù)公告后,用戶應(yīng)及時修改密碼,而未發(fā)布公告的網(wǎng)站,用戶應(yīng)減少登錄,且不要急著修改密碼。
2億中國用戶受影響
4月8日,一個名為OpenSSL的軟件,被爆出存在重大漏洞,其被命名為“心臟流血”,比喻像心臟流血般重大而危急。據(jù)了解,“心臟流血”漏洞首先被谷歌研究員尼爾·梅塔發(fā)現(xiàn)。
黑客可以通過這個漏洞,獲取到以https開頭網(wǎng)址的用戶登錄賬號和密碼、cookie等一概隱私信息。而據(jù)360網(wǎng)站安全檢測平臺,對國內(nèi)120萬家經(jīng)過授權(quán)的網(wǎng)站掃描發(fā)現(xiàn),有3萬多個網(wǎng)站主機受到了漏洞影響。在4月7日、4月8日期間,共計約有2億中國用戶訪問了存在漏洞的網(wǎng)站。
更令人緊張的是,這些網(wǎng)站包含了人們最常用的購物、社交等知名網(wǎng)站和服務(wù)。并且,這與你的電腦是否足夠安全無關(guān),只要你登錄的網(wǎng)站使用了存在漏洞的OpenSSL版本,用戶登錄網(wǎng)站時的一些信息,就可能被伺機而動的黑客所獲取。
據(jù)稱,這一漏洞被公開后,一部分雅虎用戶數(shù)據(jù),在一天之內(nèi)遭到泄露。而360網(wǎng)站衛(wèi)士的OpenSSL漏洞檢測平臺還發(fā)現(xiàn),清華大學(xué)等幾所高校的某項網(wǎng)絡(luò)服務(wù),也存在“心臟出血”漏洞。
經(jīng)360網(wǎng)絡(luò)攻防實驗室檢測發(fā)現(xiàn),全球開放443端口的主機共有40041126個,其中受OpenSSL“心臟出血”漏洞影響的主機有32335個。
隱私信息或被竊取
據(jù)了解,黑客獲取的是離內(nèi)存最近的64K字節(jié)的內(nèi)容,大概是六萬個字,其中很可能包含用戶隱私信息,甚至網(wǎng)站密鑰。
并且黑客攻擊“心臟流血”并不需要很高門檻,因為入侵代碼已經(jīng)被公布。黑客只要有足夠的耐心和時間,就可以翻檢足夠多的數(shù)據(jù),拼湊出戶主的銀行密碼、私信等敏感數(shù)據(jù),“甚至連網(wǎng)站的源代碼都可能被竊取。”一位在杭州從事計算機行業(yè)多年的王姓程序員(以下簡稱王先生)表示。
網(wǎng)絡(luò)安全專家、南京翰海源信息技術(shù)有限公司創(chuàng)始人方興此前表示,通過這個漏洞,可以泄露以下四方面內(nèi)容:一是私鑰,所有https站點的加密內(nèi)容全能破解;二是網(wǎng)站用戶密碼,用戶資產(chǎn)如網(wǎng)銀隱私數(shù)據(jù)被盜。蝗欠⻊(wù)器配置和源碼,服務(wù)器可以被攻破;四是服務(wù)器“掛掉”不能提供服務(wù)。
可能有些人會慶幸,還好那幾天我都用手機APP登錄。但360副總裁譚曉生,在接受采訪時曾表示:“手機APP用到OpenSSL軟件的占到50%,我們掃描到一萬多個問題網(wǎng)站。”
修改密碼要視情況而定
使用網(wǎng)上銀行或有U盾的用戶,其賬戶的安全會不會受到影響?相關(guān)人士表示,影響幾乎為零。
“如果銀行使用了帶有該漏洞的OpenSSL開源軟件版本,會有一定影響。但是這個漏洞只是竊取內(nèi)存中的數(shù)據(jù),銀行的用戶密碼還有一重加密保護,一般不會在SSL服務(wù)器解密,所以也就很難拿到銀行用戶的密碼。”中國金融認證中心應(yīng)用開發(fā)部總經(jīng)理林峰,此前在接受采訪時解釋。
什么是SSL?“簡單地來說,SSL是一種加密協(xié)議,如果網(wǎng)站不采用這種加密協(xié)議的話,用戶在登錄時候的用戶名、密碼等信息,會以明文的形式進行傳輸,非常不安全。”王先生解釋說。
那我們現(xiàn)在是否需要去修改相關(guān)網(wǎng)站的密碼呢?這個得看情況,王先生建議說:“如果這個網(wǎng)站并未升級,那么你去登錄了,就會有一定的風(fēng)險,因為你的用戶名等相關(guān)信息,都會存在網(wǎng)站的服務(wù)器內(nèi)存上,黑客只要入侵這個服務(wù)器,對這些數(shù)據(jù)進行解碼,就可以知曉相關(guān)信息。如果這個網(wǎng)站已經(jīng)確認升級過其OpenSSL,那么修改密碼是一種比較保險的行為。”
此外,金山毒霸安全專家李鐵軍此前也建議,盡可能開通手機驗證或動態(tài)密碼,最好綁定手機。這樣登錄重要服務(wù)時,除了需要驗證用戶名密碼,還需加手機驗證碼登錄。那么就算黑客拿到賬戶密碼,登錄還有另一道門檻。安全專家建議,一個密碼的使用時間不宜過長,超過3個月就該換一換。
縱深
登錄網(wǎng)站就會被竊取密碼?
事實確實如此。王先生表示,這個漏洞其實并不是這段時間才出現(xiàn)的,實際上它出現(xiàn)于2012年。至今兩年多,誰也不知道是否已經(jīng)有黑客利用漏洞獲取了用戶資料。而且由于該漏洞即使被入侵,也不會在服務(wù)器日志中留下痕跡,所以目前還沒有辦法確認哪些服務(wù)器被入侵,也就沒法定位損失、確認泄露信息,從而通知用戶進行補救。不過,只有在用戶使用有漏洞的服務(wù)時,正好有人在利用監(jiān)視這個漏洞,你的密碼才有可能被竊取。所以,一般用戶不用太過緊張。
|