您的位置:台灣網  >  經貿  >  今日推薦  > 正文

網路驚現核彈級漏洞 2億網民網銀密碼或中招

2014-04-10 15:45 來源:北京青年報 字號:       轉發 列印

  “心臟出血”:OpenSSL的源代碼中存在一個漏洞,可以讓攻擊者獲得伺服器上64K記憶體中的數據內容。這部分數據中,可能存有安全證書、用戶名與密碼等數據。 OpenSSL:是目前網際網路上應用最廣泛的安全傳輸方法。可以形象地説,它是網際網路上銷量最大的門鎖。

  導讀:OpenSSL日前被曝出本年度最危險的安全漏洞,初步評估有不少於30%的網站中招,其中包括網友們最常用的購物、網銀、社交、門戶等知名網站和服務。利用這一被命名為“心臟出血”的漏洞,駭客可以獲取到以https開頭網址的用戶登錄賬號和密碼、cookie等敏感數據。“心臟出血”漏洞將影響至少兩億中國網民。

  事件·影響

  3萬多個網站主機受威脅

  事實上,最新的調查顯示,4月7日淩晨,國內就出現了針對OpenSSL“心臟出血”漏洞的駭客攻擊跡象。360網站安全檢測平臺對國內120萬家經過授權的網站掃描,其中有3萬多個網站主機受漏洞影響。4月7日、4月8日期間,共計約2億網友訪問了存在漏洞的網站。

  360安全專家石曉虹博士表示,“心臟出血”漏洞堪稱“網路核彈”,初步評估一批https登錄方式的主流網站,有不少於30%的網站中招,其中包括網銀、網購、網上支付、郵箱、門戶、微信、微博等知名網站和服務。無論用戶電腦多麼安全,只要網站使用了存在漏洞的OpenSSL版本,用戶登錄該網站時就可能被駭客實時監控到登錄賬號和密碼。

  北京青年報記者了解到,駭客獲取的是離記憶體最近的64K字節的內容,大概是六萬多個字。這其中很可能包含用戶隱私資訊,甚至網站密鑰。

  網路安全專家、南京翰海源資訊技術有限公司創始人方興表示,通過這個漏洞,可以洩露以下四方面內容:一是私鑰,所有https站點的加密內容全能破解;二是網站用戶密碼,用戶資産如網銀隱私數據被盜取;三是伺服器配置和源碼,伺服器可以被攻破;四是伺服器“挂掉”不能提供服務。

  百度錢包也發佈聲明稱,近日,OpenSSL漏洞已排山倒海向網際網路安全界襲來,攻擊者可持續讀取伺服器記憶體數據,竊取用戶cookie、密碼等敏感數據,已確定1.0.1—1.0.1f、1.0.2beta1版本均在此列。

  事件·最新

  清華等高校網路發現OpenSSL漏洞

  360網站衛士的OpenSSL漏洞檢測平臺昨天發現,清華大學等幾所高校的某項網路服務存在“心臟出血”漏洞,同時也監測到了有來自北京聯通的一個IP針對這些服務進行漏洞探測,360緊急通知相關高校進行修復。通過進一步分析發現,某高校的網路服務存“心臟出血”漏洞源自於其VPN硬體設備。360提醒用戶,如果通過檢測發現問題,可以第一時間聯繫硬體設備提供商,通過軟體升級或降級等方式進行修復。

  事件·提示

  登錄網站最好先檢測是否存漏洞

  經360網路攻防實驗室檢測發現,全球開放443端口的主機共有40041126個,其中受OpenSSL“心臟出血”漏洞影響的主機有32335個。

  360已經第一時間向12萬網站用戶發送提醒郵件,提醒廣大站長儘快將OpenSSL升級至 1.0.1g版本,以修復該漏洞。

  為幫助用戶避免相應風險,360網站衛士推出OpenSSL漏洞線上檢查工具(http://wangzhan.360.cn/heartbleed),輸入網址就能夠檢測網站是否存在該漏洞。

  石曉虹提醒廣大網際網路服務商,儘快將OpenSSL升級至1.0.1g版本進行修復。同時建議廣大網友,在此漏洞得到修復前,暫時不要在受到漏洞影響的網站上登錄賬號,尤其是對那些沒有明確採取補救措施的網站,更應該謹慎避免泄密風險。在網站完成修復升級後,及時修改密碼。

  事件·應對

  國內網路公司均稱“已修復”漏洞

  對於OpenSSL存在的漏洞,昨天,阿里巴巴、騰訊、百度、360、京東等中國網際網路公司均表示,已第一時間對漏洞進行了修復。

  騰訊和阿里巴巴均回應稱,已在第一時間對OpenSSL某些存在基礎協議通用漏洞的版本進行了修復處理,目前已經處理完畢,騰訊包括郵箱、財付通、QQ、微信等産品和網站,阿裏包括淘寶、天貓、支付寶等各網站都確認可以放心使用。

  阿裏小微金融服務集團(籌)首席風險官胡曉明稱,通過4月8日一晚上的通宵工作,已經完全修復了OpenSSL出現漏洞後的安全資訊問題,並重新回顧了這個時間點支付寶加密機制是否存在問題,沒有發現任何問題。

  百度錢包稱,在這次風暴中未受影響,請大家繼續安心使用。京東表示,已對系統全面排查並升級,目前不建議用戶修改密碼。

  360公司相關負責人也表示,360歷來有一個漏洞檢索機制,4月8日上午10點28分抓取到了這個漏洞資訊,立即開始自我評估,搜索自己哪些伺服器使用了OpenSSL協議,最後獲得了一個伺服器列表,一共有100-200台伺服器受到影響,然後立刻要求伺服器團隊開始修復,整個修復過程持續到4月9日淩晨5點多。

  事件·後續

  技術專家稱修復並不意味著安全

  北京知道創宇資訊技術有限公司持續監測發現,一些公司升級了OpenSSL;一些公司選擇暫停SSL服務,仍繼續使用其主要功能;有的為規避風險,乾脆暫停網站全部服務;更有一部分根本沒有採取任何措施。

  對於以上公司的處理方式,方興認為,相對於當前可能出現的資訊泄密和財産損失,其影響將是持久深遠的,並不是此次修復漏洞後就安全了,攻擊者還可以利用獲得的數據進行更大程度上的破壞。

  一位安全行業人士透露,他在某著名電商網站上用這個漏洞嘗試讀取數據,在讀取200次後,獲得了40多個用戶名、7個密碼,用這些密碼,他成功地登錄了該網站。

  事件·觀察

  國家級應急響應亟待優化

  對於此次OpenSSL漏洞給中國網際網路企業帶來的系統性風險,有專家指出,出於安全考慮,政府有關職能部門應在第一時間向全國發出警報。但從目前反應出的情況來看,我國重大安全事件的緊急處置及聯動機制還不夠健全。

  國家應急中心一位負責人也指出,我國從2003年起,就開始試圖建立漏洞觸發機制,但這一塊工作的細化和操作在實踐層面還缺乏清晰的路徑。

  中國電腦學會資訊安全專業委員會主任嚴明認為,對於政府職能部門,目前公安或者其他相關部門應當立即啟動應急措施,促進通報漏洞資訊,並強制推動所有受到漏洞影響的網站進行技術升級和修補。在這一階段完成後,再對那些出現了財産侵佔的非法行為進行查處追責。

  對於企業而言,則要第一時間做出反應,修補自身漏洞,比如該漏洞8日被公佈,一些企業到了9日才開始補救,一些甚至還無動於衷。

  本版

[責任編輯: 林天泉]

視 頻
  1. 浙江慣偷鈔票點煙被抓 稱“窮得只剩錢”

    浙江慣偷鈔票點煙被抓

      近日,浙江義烏一名男子在網上不斷炫富,還用百元大鈔點煙...

  2. 江宜樺重申徹查島內油品市場

    江宜樺重申徹查島內油品市場

    關注臺灣食品油事件

圖 片
    服務專區

    投資流程辦事指南往來手續聯繫我們Q&A

    關於我們 | 本網動態 | 轉載申請 | 投稿郵箱 | 聯繫我們 | 版權申明 | 法律顧問
    京ICP證130248號 京公網安備110102003391
    網路傳播視聽節目許可證0107219號
    台灣網版權所有