您的位置:台灣網  >  經貿  >  今日推薦  > 正文

網際網路“心臟出血”電商網銀遭受威脅

2014-04-10 15:45 來源:京華時報 字號:       轉發 列印

  4月8日外媒爆出,研究人員發現OpenSSL漏洞遍及全球網際網路公司,併為其起了個形象的名字“心臟出血”,中國超過3萬台主機受波及,國內網站和安全廠商技術人員為檢查、搶修徹夜未眠。截至昨天,有超30%的主機已經修復,“大站”紛紛表示安全,但技術人士稱,消費者敏感資訊是否洩露還有待日後觀察。

  京華時報記者廖豐古曉宇祝劍禾顧夢琳高晨京華時報製圖何將

  □事件

  OpenSSL漏洞曝光

  4月8日,OpenSSL的大漏洞曝光,外國駭客將其命名為“heartbleed”,用最致命的內傷“心臟出血”描述事件的嚴重性。該漏洞是由Codenomicon和谷歌安全部門的研究人員獨立發現的。不過據外媒報道,為了將影響降到最低,研究人員已經與OpenSSL團隊和其他關鍵的內部人士展開了合作,在公佈該問題前就已經準備好修復方案。

  OpenSSL是為網路通信提供安全及數據完整性的一種安全協議,囊括了主要的密碼演算法、常用的密鑰和證書封裝管理功能以及SSL協議,各大網銀、線上支付、電商網站、門戶網站、電子郵件等重要網站上廣泛使用。知道創宇網站安全部總監余弦將OpenSSL形容為“網際網路上銷量最大的門鎖”。此次爆出的這個漏洞,則讓特定版本的OpenSSL成為無需鑰匙即可開啟的廢鎖,入侵者每次可以翻檢戶主的64K資訊,只要有足夠的耐心和時間,他可以翻檢足夠多的數據,拼湊出戶主的銀行密碼、私信等敏感數據。

  “簡單識別網站應用是否採用SSL加密,只需要看瀏覽器地址欄是http,還是https,後者就是用SSL加密的。通常是非常關鍵的網路服務,比如郵箱、支付、銀行。”金山毒霸安全專家李鐵軍説。

  “有這樣千載難逢的機會,駭客們是捨不得睡覺的。他們會想盡辦法多獲取一些伺服器上的資訊。”360公司技術副總裁譚曉生説。

  □影響

  網際網路安全大地震

  “這是近兩年來最嚴重的一次網路安全危機。”360公司技術副總裁譚曉生評價,在以https開頭的網站中,初步評估有不少於30%的網站中招,其中包括大家最常用的購物、網銀、社交、門戶等知名網站,而在手機APP的網銀客戶端中,則有至少50%存在風險。

  據南京翰海源資訊技術有限公司創始人方興介紹,通俗來講,通過這個漏洞,可以洩露以下四方面內容:一是私鑰,所有https站點的加密內容全能破解;二是網站用戶密碼,用戶資産如網銀隱私數據被盜取;三是伺服器配置和源碼,伺服器可以被攻破;四是伺服器挂掉不能提供服務。

  一位安全行業人士透露,他在某著名電商網站上用這個漏洞嘗試讀取數據,在讀取200次後,獲得了40多個用戶名、7個密碼,用這些密碼,他成功地登錄了該網站。

  昨天下午,來自知道創宇ZoomEye網路空間搜索引擎的監控顯示,國內有22611台主機受影響,而前天這個數字是33303,可以看到情況正在好轉,超過30%的主機已經修復。

  “漏洞被挖掘出來以後,帶來的危害並不會非常快地顯現。”瑞星安全專家唐威告訴記者,現階段企業層面能做的也是對使用的OpenSSL進行排查和升級。

  不過,昨天也有業內人士稱,這個漏洞其實並沒那麼可怕,因為這是一個舊版本OpenSSL的安全漏洞,開發者把伺服器程式升級到OpenSSL1.0.1g就可以解決。

  □回應

  銀行銀聯支付不受影響

  對於OpenSSL的漏洞,有傳言稱即便是銀行網上支付、U盾、銀聯支付也都並不安全。不過,業內人士昨天向記者坦言,該漏洞對銀行網上支付、銀行U盾使用及銀聯的影響幾乎為零。

  中國金融認證中心應用開發部總經理林峰表示,OpenSSL的這個漏洞是由於代碼實現不嚴謹造成的。這個漏洞存在於OpenSSL1.0.1系列版本中,之前的OpenSSL版本不受影響。天貓、淘寶使用的正是這個系列的版本,所以可以竊取到記憶體中的數據。

  “如果銀行使用了帶有該漏洞的OpenSSL開源軟體版本,會有一定的影響。但是這個漏洞只是竊取記憶體中的數據,銀行的用戶密碼還有一重加密保護,一般不會在SSL伺服器解密,所以也就很難拿到銀行用戶的密碼。”

  林峰還表示,其實這個OpenSSL的漏洞和U盾的安全性沒有什麼聯繫,因為用戶的交易敏感資訊是通過USB介面送入U盾後,在U盾內部進行加密和數字簽名運算,SSL協議是對U盾加密簽名後的數據再進行一次傳輸層的加密。這次OpenSSL的漏洞對U盾沒有影響。

  此外,中國銀聯相關負責人昨天也回應稱,銀聯核心跨行交易系統運營基於專用網路,與漏洞事件無關。該負責人稱,“銀聯線上支付”等基於網際網路的創新業務系統並未使用OpenSSL技術,對於個別週邊供應商可能存在的OpenSSL漏洞,銀聯已通過主動排查,在烏雲網等技術人士公開漏洞事件前就已協調供應商消除了隱患,持卡人可以放心使用。

  微軟百度稱未受影響

  昨天,微軟中國方面向記者回應稱,沒有任何微軟産品受到此漏洞的影響。OpenSSL是開源用以實現SSL協議的産品,微軟並沒有在旗下産品和服務中使用此開源的解決方案。據悉,多數商業公司使用的SSL加密都是付費的,與本次暴露出漏洞的OpenSSL關係不大。

  百度方面也表示,百度錢包不受影響。

  電商噹噹網表示,噹噹網固有的賬戶體系非常安全,消費者可放心購物。

  盛大方面表示,盛大通行證的認證主要是通過硬體加密等方式來使用https協議,目前已經和供應商確認過,一方面所使用的OpenSSL版本不是會受影響,另一方面針對有可能出現的安全隱患,已在第一時間通過升級進行了處理。

  阿裏京東回應已修復

  昨天早上,此次漏洞事件引發最多泄密擔憂的阿裏係急忙表示漏洞已經修復。阿裏安全回應稱,關於OpenSSL某些版本存在基於基礎協議的通用漏洞,阿裏各網站已經在第一時間進行了修復處理,目前已經處理完畢,包括淘寶、天貓、支付寶等各大網站都確認可以放心使用。其中淘寶方面還透露,從目前監控的情況來看,未發現賬戶異常。

  京東則表示,已于昨天完成了修補處理,避免了這次漏洞的侵襲。

  騰訊昨天早上也發聲明稱,騰訊已在第一時間進行處理,目前相關的産品業務如郵箱、財付通、QQ、微信等都已經修復完畢。

  網易郵箱方面告訴記者,烏雲報告提到的網易郵箱OpenSSL漏洞,經過網易郵箱查證,所列域名都是指向了CDN(內容分發網路)服務,收到報告後網易郵箱第一時間反饋給CDN服務商,當晚已經修復。

  此外,全球網際網路巨頭雅虎、谷歌和Facebook也紛紛表示已修復漏洞。谷歌表示:“我們已經評估了SSL漏洞,並且給谷歌的關鍵服務打上了補丁。”

  誰能利用“心臟出血”漏洞?

  “對於了解這項漏洞的人,要對其加以利用並不困難。”普林斯頓大學電腦科學家菲爾騰説。利用這項漏洞的軟體在網上有很多,雖然這些軟體並不像iPad應用那麼容易使用,但任何擁有基本編程技能的人都能學會它的使用方法。

  當然,這項漏洞對情報機構的價值或許最大,他們擁有足夠的基礎設施來對用戶流量展開大規模攔截。

  □消費者應對

  網站修復漏洞後用戶需修改密碼

  360公司技術副總裁譚曉生建議,在4月7日和8日兩天登錄過存在漏洞的網站的網友,首先需要確認曾經登錄的網站是否已經進行了升級修復,可看該網站是否發佈相關的公告,也可通過360網站衛士推出的OpenSSL漏洞線上檢查工具,輸入網址檢測網站是否存在該漏洞。如果相關網站已完成了修復,則用戶需要將使用過的用戶名、密碼等個人資訊進行修改;如果登錄過的網站仍然未能完成修復,“那很遺憾,用戶只有坐等對方修復。”

  金山毒霸安全專家李鐵軍表示,對重要服務,要盡可能開通手機驗證或動態密碼,比如支付寶、郵箱等。

  “針對OpenSSL漏洞,駭客的攻擊方式是不斷發動數據包攻擊,每次攻擊能夠從伺服器記憶體上得到大小為64K的數據,不過獲得的數據是零散無序的,駭客想要獲得真正有用的資訊,需要把累計獲得的數據進行整理分析,這需要一個時間過程,因此,在這兩天內及時完成密碼修改,就不會有太大的問題。”譚曉生提醒説,不過,即便網站完成修復,也並不意味著天下太平了,未來是否有新的危險還不得而知。

  此外,在網站漏洞修復前,不要網購或網上支付,以免受到損失。一個密碼的使用時間不宜過長,超過3個月就該換掉了。

  什麼是SSL?

  SSL是一種流行的加密技術,可以保護用戶通過網際網路傳輸的隱私資訊。網站採用此加密技術後,第三方無法讀取你與該網站之間的任何通訊資訊。在後臺,通過SSL加密的數據只有接收者才能解密。

  SSL最早在1994年由網景推出,1990年代以來已經被所有主流瀏覽器採納。

  什麼是“心臟出血”漏洞?

  SSL標準包含一個心跳選項,允許SSL連接一端的電腦發出一條簡短的資訊,確認另一端的電腦仍然線上,並獲取反饋。研究人員發現,可以通過巧妙的手段發出惡意心跳資訊,欺騙另一端的電腦洩露機密資訊。受影響的電腦可能會因此而被騙,併發送伺服器記憶體中的資訊。

  誰發現的這個問題?

  該漏洞是由Codenomicon和谷歌安全部門的研究人員獨立發現的。為了將影響降到最低,研究人員已經與OpenSSL團隊和其他關鍵的內部人士展開了合作,在公佈該問題前就已經準備好修復方案。

[責任編輯: 林天泉]

視 頻
  1. 浙江慣偷鈔票點煙被抓 稱“窮得只剩錢”

    浙江慣偷鈔票點煙被抓

      近日,浙江義烏一名男子在網上不斷炫富,還用百元大鈔點煙...

  2. 江宜樺重申徹查島內油品市場

    江宜樺重申徹查島內油品市場

    關注臺灣食品油事件

圖 片
    服務專區

    投資流程辦事指南往來手續聯繫我們Q&A

    關於我們 | 本網動態 | 轉載申請 | 投稿郵箱 | 聯繫我們 | 版權申明 | 法律顧問
    京ICP證130248號 京公網安備110102003391
    網路傳播視聽節目許可證0107219號
    台灣網版權所有