新華網北京4月9日電(記者南婷、程士華)8日,常用於電商、網銀等安全性極高網站的網路安全協議Open SLL被曝出存在安全漏洞,危及全球包括銀行、電商在內關鍵部門和普通用戶財産和資訊安全。這一漏洞一旦被惡意利用,意味著用戶登錄這些電商、網銀的賬戶、密碼等關鍵資訊都將洩露。
北京知道創宇資訊技術有限公司研究部總監鐘晨鳴表示,此次漏洞會影響為數眾多的使用https的網站,包括公眾熟知並且經常訪問的微信、淘寶、各個網銀、社交、門戶等知名網站,而且越是知名的大網站,越是容易受到不法分子利用漏洞進行的攻擊。
據南京翰海源資訊技術有限公司創始人方興介紹,通俗來講,通過這個漏洞,可以洩露以下四方面內容:一是私鑰,所有https站點的加密內容全能破解;二是網站用戶密碼,用戶資産如網銀隱私數據被盜取;三是伺服器配置和源碼,伺服器可以被攻破;四是伺服器挂掉不能提供服務。
一位安全行業人士透露,他在某著名電商網站上用這個漏洞嘗試讀取數據,在讀取200次後,獲得了40多個用戶名、7個密碼,用這些密碼,他成功地登錄了該網站。
這一漏洞被曝出後,全球的駭客與安全保衛者們展開了競賽。駭客在不停地試探各類伺服器,試圖從漏洞中抓取到儘量多的用戶數據;安全保衛者則在盡可能短的時間裏升級系統、彌補漏洞,實在來不及實施的則暫時關閉某些服務。
鐘晨鳴説,這個漏洞實際上出現于2012年,至今兩年多,誰也不知道是否已經有駭客利用漏洞獲取了用戶資料;而且由於該漏洞即使被入侵也不會在伺服器日誌中留下痕跡,所以目前還沒有辦法確認哪些伺服器被入侵,也就沒法定位損失、確認洩露資訊,從而通知用戶進行補救。
國家應急中心直到9日才開始聯動,響應並不及時。該中心一名專家坦陳,從2003年,國家應急中心就試圖建立漏洞觸發的相關應急工作和能力,但是這一領域的工作到現在也不夠清晰,需要新的能力架構設計。“純事件觸發有時太晚太被動,2001年至2004年有很多教訓,技術上存在適當前移的可能。”
業內人士建議,需從頂層設計著手,在政策層面明確導向資訊安全與資訊化的一體性質,以及安全與建設的全週期結合。從規劃角度,要導向政企單位建立綜合的資訊安全能力,要強調資訊安全的體系化建設,把離散的等級保護要求推動到下一步的整體建設中。
[責任編輯: 林天泉]