4月8日外媒爆出,研究人員發現OpenSSL漏洞遍及全球網際網路公司,併為其起了個形象的名字“心臟出血”,中國超過3萬台主機受波及,國內網站和安全廠商技術人員為檢查、搶修徹夜未眠。截至昨天,有超30%的主機已經修復,“大站”紛紛表示安全,但技術人士稱,消費者敏感資訊是否洩露還有待日後觀察。
京華時報記者廖豐古曉宇祝劍禾顧夢琳高晨京華時報製圖何將
□事件
OpenSSL漏洞曝光
4月8日,OpenSSL的大漏洞曝光,外國駭客將其命名為“heartbleed”,用最致命的內傷“心臟出血”描述事件的嚴重性。該漏洞是由Codenomicon和谷歌安全部門的研究人員獨立發現的。不過據外媒報道,為了將影響降到最低,研究人員已經與OpenSSL團隊和其他關鍵的內部人士展開了合作,在公佈該問題前就已經準備好修復方案。
OpenSSL是為網路通信提供安全及數據完整性的一種安全協議,囊括了主要的密碼演算法、常用的密鑰和證書封裝管理功能以及SSL協議,各大網銀、線上支付、電商網站、門戶網站、電子郵件等重要網站上廣泛使用。知道創宇網站安全部總監余弦將OpenSSL形容為“網際網路上銷量最大的門鎖”。此次爆出的這個漏洞,則讓特定版本的OpenSSL成為無需鑰匙即可開啟的廢鎖,入侵者每次可以翻檢戶主的64K資訊,只要有足夠的耐心和時間,他可以翻檢足夠多的數據,拼湊出戶主的銀行密碼、私信等敏感數據。
“簡單識別網站應用是否採用SSL加密,只需要看瀏覽器地址欄是http,還是https,後者就是用SSL加密的。通常是非常關鍵的網路服務,比如郵箱、支付、銀行。”金山毒霸安全專家李鐵軍説。
“有這樣千載難逢的機會,駭客們是捨不得睡覺的。他們會想盡辦法多獲取一些伺服器上的資訊。”360公司技術副總裁譚曉生説。
□影響
網際網路安全大地震
“這是近兩年來最嚴重的一次網路安全危機。”360公司技術副總裁譚曉生評價,在以https開頭的網站中,初步評估有不少於30%的網站中招,其中包括大家最常用的購物、網銀、社交、門戶等知名網站,而在手機APP的網銀客戶端中,則有至少50%存在風險。
據南京翰海源資訊技術有限公司創始人方興介紹,通俗來講,通過這個漏洞,可以洩露以下四方面內容:一是私鑰,所有https站點的加密內容全能破解;二是網站用戶密碼,用戶資産如網銀隱私數據被盜取;三是伺服器配置和源碼,伺服器可以被攻破;四是伺服器挂掉不能提供服務。
一位安全行業人士透露,他在某著名電商網站上用這個漏洞嘗試讀取數據,在讀取200次後,獲得了40多個用戶名、7個密碼,用這些密碼,他成功地登錄了該網站。
昨天下午,來自知道創宇ZoomEye網路空間搜索引擎的監控顯示,國內有22611台主機受影響,而前天這個數字是33303,可以看到情況正在好轉,超過30%的主機已經修復。
“漏洞被挖掘出來以後,帶來的危害並不會非常快地顯現。”瑞星安全專家唐威告訴記者,現階段企業層面能做的也是對使用的OpenSSL進行排查和升級。
不過,昨天也有業內人士稱,這個漏洞其實並沒那麼可怕,因為這是一個舊版本OpenSSL的安全漏洞,開發者把伺服器程式升級到OpenSSL1.0.1g就可以解決。
□回應
銀行銀聯支付不受影響
對於OpenSSL的漏洞,有傳言稱即便是銀行網上支付、U盾、銀聯支付也都並不安全。不過,業內人士昨天向記者坦言,該漏洞對銀行網上支付、銀行U盾使用及銀聯的影響幾乎為零。
中國金融認證中心應用開發部總經理林峰表示,OpenSSL的這個漏洞是由於代碼實現不嚴謹造成的。這個漏洞存在於OpenSSL1.0.1系列版本中,之前的OpenSSL版本不受影響。天貓、淘寶使用的正是這個系列的版本,所以可以竊取到記憶體中的數據。
“如果銀行使用了帶有該漏洞的OpenSSL開源軟體版本,會有一定的影響。但是這個漏洞只是竊取記憶體中的數據,銀行的用戶密碼還有一重加密保護,一般不會在SSL伺服器解密,所以也就很難拿到銀行用戶的密碼。”
林峰還表示,其實這個OpenSSL的漏洞和U盾的安全性沒有什麼聯繫,因為用戶的交易敏感資訊是通過USB介面送入U盾後,在U盾內部進行加密和數字簽名運算,SSL協議是對U盾加密簽名後的數據再進行一次傳輸層的加密。這次OpenSSL的漏洞對U盾沒有影響。
此外,中國銀聯相關負責人昨天也回應稱,銀聯核心跨行交易系統運營基於專用網路,與漏洞事件無關。該負責人稱,“銀聯線上支付”等基於網際網路的創新業務系統並未使用OpenSSL技術,對於個別週邊供應商可能存在的OpenSSL漏洞,銀聯已通過主動排查,在烏雲網等技術人士公開漏洞事件前就已協調供應商消除了隱患,持卡人可以放心使用。
微軟百度稱未受影響
昨天,微軟中國方面向記者回應稱,沒有任何微軟産品受到此漏洞的影響。OpenSSL是開源用以實現SSL協議的産品,微軟並沒有在旗下産品和服務中使用此開源的解決方案。據悉,多數商業公司使用的SSL加密都是付費的,與本次暴露出漏洞的OpenSSL關係不大。
百度方面也表示,百度錢包不受影響。
電商噹噹網表示,噹噹網固有的賬戶體系非常安全,消費者可放心購物。
盛大方面表示,盛大通行證的認證主要是通過硬體加密等方式來使用https協議,目前已經和供應商確認過,一方面所使用的OpenSSL版本不是會受影響,另一方面針對有可能出現的安全隱患,已在第一時間通過升級進行了處理。
阿裏京東回應已修復
昨天早上,此次漏洞事件引發最多泄密擔憂的阿裏係急忙表示漏洞已經修復。阿裏安全回應稱,關於OpenSSL某些版本存在基於基礎協議的通用漏洞,阿裏各網站已經在第一時間進行了修復處理,目前已經處理完畢,包括淘寶、天貓、支付寶等各大網站都確認可以放心使用。其中淘寶方面還透露,從目前監控的情況來看,未發現賬戶異常。
京東則表示,已于昨天完成了修補處理,避免了這次漏洞的侵襲。
騰訊昨天早上也發聲明稱,騰訊已在第一時間進行處理,目前相關的産品業務如郵箱、財付通、QQ、微信等都已經修復完畢。
網易郵箱方面告訴記者,烏雲報告提到的網易郵箱OpenSSL漏洞,經過網易郵箱查證,所列域名都是指向了CDN(內容分發網路)服務,收到報告後網易郵箱第一時間反饋給CDN服務商,當晚已經修復。
此外,全球網際網路巨頭雅虎、谷歌和Facebook也紛紛表示已修復漏洞。谷歌表示:“我們已經評估了SSL漏洞,並且給谷歌的關鍵服務打上了補丁。”
誰能利用“心臟出血”漏洞?
“對於了解這項漏洞的人,要對其加以利用並不困難。”普林斯頓大學電腦科學家菲爾騰説。利用這項漏洞的軟體在網上有很多,雖然這些軟體並不像iPad應用那麼容易使用,但任何擁有基本編程技能的人都能學會它的使用方法。
當然,這項漏洞對情報機構的價值或許最大,他們擁有足夠的基礎設施來對用戶流量展開大規模攔截。
□消費者應對
網站修復漏洞後用戶需修改密碼
360公司技術副總裁譚曉生建議,在4月7日和8日兩天登錄過存在漏洞的網站的網友,首先需要確認曾經登錄的網站是否已經進行了升級修復,可看該網站是否發佈相關的公告,也可通過360網站衛士推出的OpenSSL漏洞線上檢查工具,輸入網址檢測網站是否存在該漏洞。如果相關網站已完成了修復,則用戶需要將使用過的用戶名、密碼等個人資訊進行修改;如果登錄過的網站仍然未能完成修復,“那很遺憾,用戶只有坐等對方修復。”
金山毒霸安全專家李鐵軍表示,對重要服務,要盡可能開通手機驗證或動態密碼,比如支付寶、郵箱等。
“針對OpenSSL漏洞,駭客的攻擊方式是不斷發動數據包攻擊,每次攻擊能夠從伺服器記憶體上得到大小為64K的數據,不過獲得的數據是零散無序的,駭客想要獲得真正有用的資訊,需要把累計獲得的數據進行整理分析,這需要一個時間過程,因此,在這兩天內及時完成密碼修改,就不會有太大的問題。”譚曉生提醒説,不過,即便網站完成修復,也並不意味著天下太平了,未來是否有新的危險還不得而知。
此外,在網站漏洞修復前,不要網購或網上支付,以免受到損失。一個密碼的使用時間不宜過長,超過3個月就該換掉了。
什麼是SSL?
SSL是一種流行的加密技術,可以保護用戶通過網際網路傳輸的隱私資訊。網站採用此加密技術後,第三方無法讀取你與該網站之間的任何通訊資訊。在後臺,通過SSL加密的數據只有接收者才能解密。
SSL最早在1994年由網景推出,1990年代以來已經被所有主流瀏覽器採納。
什麼是“心臟出血”漏洞?
SSL標準包含一個心跳選項,允許SSL連接一端的電腦發出一條簡短的資訊,確認另一端的電腦仍然線上,並獲取反饋。研究人員發現,可以通過巧妙的手段發出惡意心跳資訊,欺騙另一端的電腦洩露機密資訊。受影響的電腦可能會因此而被騙,併發送伺服器記憶體中的資訊。
誰發現的這個問題?
該漏洞是由Codenomicon和谷歌安全部門的研究人員獨立發現的。為了將影響降到最低,研究人員已經與OpenSSL團隊和其他關鍵的內部人士展開了合作,在公佈該問題前就已經準備好修復方案。
[責任編輯: 林天泉]