8日,常用於電商、網銀等安全性極高網站的網絡安全協議OpenSSL被曝存在安全漏洞,危及全球包括銀行、電商在內的關鍵部門和普通用戶財產和信息安全。這一漏洞一旦被惡意利用,意味著用戶登錄這些電商、網銀的賬號、密碼等關鍵信息都將泄露。
  互聯網最大銷量的門鎖“變成廢鎖”
  OpenSSL是互聯網上應用最廣泛的一種安全協議,旨在為網絡通信提供安全及數據完整性,囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協議。目前,全球約有2/3的網站使用該協議。
  這個名為“心臟出血”(heartbleed)的漏洞由網絡安全公司Codenomicon和谷歌安全工程師共同發現。根據其描述,攻擊者可利用該漏洞“竊取聊天工具的信息、直接從網絡服務和用戶處盜走隱私數據,甚至可以假扮用戶”。
  “通俗地說,OpenSSL是互聯網上銷量最大的門鎖,而這個漏洞可以讓特定版本的OpenSSL成為無需鑰匙即可開啟的廢鎖。”據Codenomicon公司介紹,雖然還無法確認“心臟出血”漏洞是否已遭大範圍濫用,但他們已確認能夠利用該漏洞不留痕跡地對某個網站發起攻擊。
  支付寶、淘寶、網銀皆存隱患
  至於這個漏洞的影響範圍究竟有多大,目前還難以確定,但訪問人數眾多的支付寶、淘寶、銀行網銀系統等國內多種網站,基本上都存在潛在風險。在國外,受波及者也是數不勝數,大名鼎鼎的谷歌、雅虎、亞馬遜和臉譜網均包括在內。
  自漏洞曝光後,受影響公司在爭分奪秒地升級系統、修補漏洞。谷歌公司稱,已經對該公司的主要服務進行了修正。臉譜網宣稱早在漏洞被曝光前就採取了額外保護措施。雅虎公司表示,雅虎主頁、搜索、財經、體育等主要產品已“成功進行恰當的更正”,並且還在努力修複旗下其他站點。而OpenSSL也已發佈修複漏洞的新版本,要求用戶必須更新軟件以確保安全性。
  北京知道創宇信息技術有限公司研究部總監鐘晨鳴表示,此次漏洞會影響為數眾多的使用https的網站,包括公眾熟知並且經常訪問的微信、淘寶、各個網銀、社交、門戶等知名網站,而且越是知名的大網站,越是容易受到不法分子利用漏洞進行的攻擊。
  鐘晨鳴說,這個漏洞實際上出現於2012年,至今兩年多,誰也不知道是否已經有黑客利用漏洞獲取了用戶資料;而且由於該漏洞即使被入侵也不會在服務器日誌中留下痕跡,所以目前還沒有辦法確認哪些服務器被入侵,也就沒法定位損失、確認泄露信息,從而通知用戶進行補救。
  國家互聯網應急中心直到9日才開始聯動,響應並不及時。該中心一名專家坦陳,從2003年,國家互聯網應急中心就試圖建立漏洞觸發的相關應急工作和能力,但是這一領域的工作到現在也不夠清晰,需要新的能力架構設計。專家指出,如果這兩天用過淘寶、支付類網站、網銀等服務,建議修改密碼,並且這兩天先暫停使用。
  綜合新華社、中國日報  (原標題:安全協議被曝存重大漏洞威脅網銀、微信、淘寶等安全)
創作者介紹
創作者 th72thnrfp 的頭像
th72thnrfp

rendering

th72thnrfp 發表在 痞客邦 留言(0) 人氣()