蚌埠網(wǎng)絡(luò)公司電話(huà):0552-3711772 15255232273
工作機(jī)會(huì) | 售后服務(wù) | 網(wǎng)站地圖 | TAG標(biāo)簽
網(wǎng)站首頁(yè) 關(guān)于華迅 新聞動(dòng)態(tài) 網(wǎng)站建設(shè) 服務(wù)項(xiàng)目 案例展示 合作流程 聯(lián)系我們
專(zhuān)注:蚌埠網(wǎng)站建設(shè)-致力成為蚌埠網(wǎng)絡(luò)公司首選企業(yè)!蚌埠網(wǎng)站制作、蚌埠做網(wǎng)站?當(dāng)然華迅網(wǎng)絡(luò)!
您當(dāng)前的位置 > 主頁(yè) > 新聞動(dòng)態(tài) > 公司動(dòng)態(tài) > 正文 文化傳承源動(dòng)力、市場(chǎng)傳播影響力、品牌傳遞思想力
公司動(dòng)態(tài)
華迅百科:高危漏洞突襲互聯(lián)網(wǎng)
時(shí)間:2014-04-14 09:07   作者:admin   點(diǎn)擊:
核心提示:高危漏洞心臟流血突襲互聯(lián)網(wǎng) 這兩天,蚌埠女孩王曉蕙(化名)告訴記者,她在糾結(jié)到底要不要更改網(wǎng)站賬戶(hù)密碼。因?yàn)?月8日早上,她上淘寶網(wǎng)買(mǎi)下了心儀很久的小家電,但當(dāng)天就爆出消息稱(chēng),一個(gè)名為OpenSSL的基礎(chǔ)網(wǎng)絡(luò)傳輸軟件存在重大漏洞,用戶(hù)登錄網(wǎng)銀、購(gòu)物

高危漏洞“心臟流血”突襲互聯(lián)網(wǎng)

這兩天,蚌埠女孩王曉蕙(化名)告訴記者,她在糾結(jié)到底要不要更改網(wǎng)站賬戶(hù)密碼。因?yàn)?月8日早上,她上淘寶網(wǎng)買(mǎi)下了心儀很久的小家電,但當(dāng)天就爆出消息稱(chēng),一個(gè)名為OpenSSL的基礎(chǔ)網(wǎng)絡(luò)傳輸軟件存在重大漏洞,用戶(hù)登錄網(wǎng)銀、購(gòu)物網(wǎng)站、電子郵件等,都可能會(huì)泄露賬戶(hù)密碼。

針對(duì)這個(gè)漏洞,不少計(jì)算機(jī)專(zhuān)家表示,用戶(hù)不用過(guò)于擔(dān)憂(yōu),這個(gè)漏洞的修復(fù)并不復(fù)雜。另外,若網(wǎng)站公布修復(fù)公告后,用戶(hù)應(yīng)及時(shí)修改密碼,而未發(fā)布公告的網(wǎng)站,用戶(hù)應(yīng)減少登錄,且不要急著修改密碼。

2億中國(guó)用戶(hù)受影響

4月8日,一個(gè)名為OpenSSL的軟件,被爆出存在重大漏洞,其被命名為“心臟流血”,比喻像心臟流血般重大而危急。據(jù)了解,“心臟流血”漏洞首先被谷歌研究員尼爾·梅塔發(fā)現(xiàn)。

黑客可以通過(guò)這個(gè)漏洞,獲取到以https開(kāi)頭網(wǎng)址的用戶(hù)登錄賬號(hào)和密碼、cookie等一概隱私信息。而據(jù)360網(wǎng)站安全檢測(cè)平臺(tái),對(duì)國(guó)內(nèi)120萬(wàn)家經(jīng)過(guò)授權(quán)的網(wǎng)站掃描發(fā)現(xiàn),有3萬(wàn)多個(gè)網(wǎng)站主機(jī)受到了漏洞影響。在4月7日、4月8日期間,共計(jì)約有2億中國(guó)用戶(hù)訪(fǎng)問(wèn)了存在漏洞的網(wǎng)站。

更令人緊張的是,這些網(wǎng)站包含了人們最常用的購(gòu)物、社交等知名網(wǎng)站和服務(wù)。并且,這與你的電腦是否足夠安全無(wú)關(guān),只要你登錄的網(wǎng)站使用了存在漏洞的OpenSSL版本,用戶(hù)登錄網(wǎng)站時(shí)的一些信息,就可能被伺機(jī)而動(dòng)的黑客所獲取。

據(jù)稱(chēng),這一漏洞被公開(kāi)后,一部分雅虎用戶(hù)數(shù)據(jù),在一天之內(nèi)遭到泄露。而360網(wǎng)站衛(wèi)士的OpenSSL漏洞檢測(cè)平臺(tái)還發(fā)現(xiàn),清華大學(xué)等幾所高校的某項(xiàng)網(wǎng)絡(luò)服務(wù),也存在“心臟出血”漏洞。

經(jīng)360網(wǎng)絡(luò)攻防實(shí)驗(yàn)室檢測(cè)發(fā)現(xiàn),全球開(kāi)放443端口的主機(jī)共有40041126個(gè),其中受OpenSSL“心臟出血”漏洞影響的主機(jī)有32335個(gè)。

隱私信息或被竊取

據(jù)了解,黑客獲取的是離內(nèi)存最近的64K字節(jié)的內(nèi)容,大概是六萬(wàn)個(gè)字,其中很可能包含用戶(hù)隱私信息,甚至網(wǎng)站密鑰。

并且黑客攻擊“心臟流血”并不需要很高門(mén)檻,因?yàn)槿肭执a已經(jīng)被公布。黑客只要有足夠的耐心和時(shí)間,就可以翻檢足夠多的數(shù)據(jù),拼湊出戶(hù)主的銀行密碼、私信等敏感數(shù)據(jù),“甚至連網(wǎng)站的源代碼都可能被竊取。”一位在杭州從事計(jì)算機(jī)行業(yè)多年的王姓程序員(以下簡(jiǎn)稱(chēng)王先生)表示。

網(wǎng)絡(luò)安全專(zhuān)家、南京翰海源信息技術(shù)有限公司創(chuàng)始人方興此前表示,通過(guò)這個(gè)漏洞,可以泄露以下四方面內(nèi)容:一是私鑰,所有https站點(diǎn)的加密內(nèi)容全能破解;二是網(wǎng)站用戶(hù)密碼,用戶(hù)資產(chǎn)如網(wǎng)銀隱私數(shù)據(jù)被盜;三是服務(wù)器配置和源碼,服務(wù)器可以被攻破;四是服務(wù)器“掛掉”不能提供服務(wù)。

可能有些人會(huì)慶幸,還好那幾天我都用手機(jī)APP登錄。但360副總裁譚曉生,在接受采訪(fǎng)時(shí)曾表示:“手機(jī)APP用到OpenSSL軟件的占到50%,我們掃描到一萬(wàn)多個(gè)問(wèn)題網(wǎng)站。”

修改密碼要視情況而定

使用網(wǎng)上銀行或有U盾的用戶(hù),其賬戶(hù)的安全會(huì)不會(huì)受到影響?相關(guān)人士表示,影響幾乎為零。

 “如果銀行使用了帶有該漏洞的OpenSSL開(kāi)源軟件版本,會(huì)有一定影響。但是這個(gè)漏洞只是竊取內(nèi)存中的數(shù)據(jù),銀行的用戶(hù)密碼還有一重加密保護(hù),一般不會(huì)在SSL服務(wù)器解密,所以也就很難拿到銀行用戶(hù)的密碼。”中國(guó)金融認(rèn)證中心應(yīng)用開(kāi)發(fā)部總經(jīng)理林峰,此前在接受采訪(fǎng)時(shí)解釋。

什么是SSL?“簡(jiǎn)單地來(lái)說(shuō),SSL是一種加密協(xié)議,如果網(wǎng)站不采用這種加密協(xié)議的話(huà),用戶(hù)在登錄時(shí)候的用戶(hù)名、密碼等信息,會(huì)以明文的形式進(jìn)行傳輸,非常不安全。”王先生解釋說(shuō)。

那我們現(xiàn)在是否需要去修改相關(guān)網(wǎng)站的密碼呢?這個(gè)得看情況,王先生建議說(shuō):“如果這個(gè)網(wǎng)站并未升級(jí),那么你去登錄了,就會(huì)有一定的風(fēng)險(xiǎn),因?yàn)槟愕挠脩?hù)名等相關(guān)信息,都會(huì)存在網(wǎng)站的服務(wù)器內(nèi)存上,黑客只要入侵這個(gè)服務(wù)器,對(duì)這些數(shù)據(jù)進(jìn)行解碼,就可以知曉相關(guān)信息。如果這個(gè)網(wǎng)站已經(jīng)確認(rèn)升級(jí)過(guò)其OpenSSL,那么修改密碼是一種比較保險(xiǎn)的行為。”

此外,金山毒霸安全專(zhuān)家李鐵軍此前也建議,盡可能開(kāi)通手機(jī)驗(yàn)證或動(dòng)態(tài)密碼,最好綁定手機(jī)。這樣登錄重要服務(wù)時(shí),除了需要驗(yàn)證用戶(hù)名密碼,還需加手機(jī)驗(yàn)證碼登錄。那么就算黑客拿到賬戶(hù)密碼,登錄還有另一道門(mén)檻。安全專(zhuān)家建議,一個(gè)密碼的使用時(shí)間不宜過(guò)長(zhǎng),超過(guò)3個(gè)月就該換一換。

縱深

登錄網(wǎng)站就會(huì)被竊取密碼?

事實(shí)確實(shí)如此。王先生表示,這個(gè)漏洞其實(shí)并不是這段時(shí)間才出現(xiàn)的,實(shí)際上它出現(xiàn)于2012年。至今兩年多,誰(shuí)也不知道是否已經(jīng)有黑客利用漏洞獲取了用戶(hù)資料。而且由于該漏洞即使被入侵,也不會(huì)在服務(wù)器日志中留下痕跡,所以目前還沒(méi)有辦法確認(rèn)哪些服務(wù)器被入侵,也就沒(méi)法定位損失、確認(rèn)泄露信息,從而通知用戶(hù)進(jìn)行補(bǔ)救。不過(guò),只有在用戶(hù)使用有漏洞的服務(wù)時(shí),正好有人在利用監(jiān)視這個(gè)漏洞,你的密碼才有可能被竊取。所以,一般用戶(hù)不用太過(guò)緊張。

 

分享到:
發(fā)表評(píng)論
請(qǐng)自覺(jué)遵守互聯(lián)網(wǎng)相關(guān)的政策法規(guī),嚴(yán)禁發(fā)布色情、暴力、反動(dòng)的言論。
評(píng)價(jià):
驗(yàn)證碼: 點(diǎn)擊我更換圖片
最新評(píng)論
公司動(dòng)態(tài)
行業(yè)資訊
社會(huì)動(dòng)態(tài)
技術(shù)文章
 
COPYRIGHT 2011-2015 mienergyuse.com 華迅網(wǎng)絡(luò)出品(蚌埠全搜索項(xiàng)目網(wǎng)站). All rights reserved. | Email :119868485@qq.com
專(zhuān)業(yè)提供網(wǎng)頁(yè)設(shè)計(jì)及其他相關(guān)服務(wù),形象決定一切 | 咨詢(xún)熱線(xiàn):0552-3711772 15255232273 | 皖I(lǐng)CP備12013552-2號(hào)
關(guān)鍵詞:
 蚌埠網(wǎng)站建設(shè) 蚌埠網(wǎng)站制作 蚌埠網(wǎng)站改版 蚌埠網(wǎng)站策劃 蚌埠網(wǎng)站推廣
收縮
  • 電話(huà)咨詢(xún)

  • 15255232273