新闻动态
快捷租赁4月10日全面解读OpenSSL“心脏出血”漏洞
- 2014-04-10 14:53:43
-
8日晚,“黑客”迎来狂欢之夜,网络安全协议OpenSLL曝出安全漏洞,让他们借机肆意扫描网站数据库,用户登录电商、网银的账户、密码等关键信息可能会泄露,造成财产损失。黑客和安全保卫者正在进行“你盗我堵”的疯狂赛跑,在这一过程中,也暴露出我国在网络安全防护方面存在软肋。
网络地震来袭
微信淘宝网银均会受影响
一位安全行业人士在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站
ZoomEye最新完成的扫描数据显示,全国160万个443端口中,已有3.3万个受本次OpenSSL漏洞影响。在国外,受到波及的网站也数不胜数,连NASA(美国航空航天局)也已宣布,用户数据库遭泄露。
一安全行业人士透露,他在某著名电商网站用这个漏洞尝试读取数据,读取200次后获得40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
北京知道创宇信息技术有限公司研究部总监钟晨鸣表示,此次漏洞会影响为数众多的使用https的网站,其中包括公众熟知并且经常访问的微信、淘宝、各个网银、社交、门户等知名网站。而且越是知名的大网站,越容易受到不法分子利用漏洞进行攻击。
据介绍,这一漏洞的发现者们给这个漏洞起了个形象的名字:heartbleed——心脏出血。
“这个漏洞是地震级别的。”中国计算机学会信息安全专业委员会主任严明说,目前受害的用户具体数字还难以知晓,要到过后才能统计出来。“打个形象的比喻,就像家里的门很坚固也锁好了,但是发现窗户虚掩着。”
威胁长期存在
并非此次修复漏洞就安全
该漏洞即使被入侵也不会在服务器日志中留下痕迹,攻击者可以利用已获得的数据进行更大程度上的破坏
然而,很多公司并没认识到问题的重要性。北京知道创宇信息技术有限公司持续监测发现,一些机构升级了OpenSSL,如360、百度等;一些选择暂停SSL服务,仍继续使用其主要功能,如微信;有的为规避风险,干脆暂停网站全部服务;更有一部分根本没有采取任何措施。
钟晨鸣说,这个漏洞实际上出现于2012年,至今两年多,谁也不知道是否已有黑客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。
相对于当前可能出现的信息泄密和财产损失,方兴说,它的影响将是持久深远的,并不是此次修复漏洞后就安全了,攻击者还可以利用获得的数据进行更大程度上的破坏。
不过,电商企业纷纷表示未受到影响,或已修复处理完毕。其中,1号店方面表示,公司的技术人员4月8日已经充分评估过该漏洞对1号店系统的影响,目前1号店在线业务系统都是安全的,不受该漏洞的任何影响。阿里巴巴表示,旗下包括淘宝、天猫等电商平台并未受到事件波及。支付宝相关负责人向记者表示,并未受到安全漏洞影响。腾讯方面则称,目前相关的产品业务如邮箱、财付通、QQ、微信等都已经修复完毕,“大家可以放心使用。”
不过金山毒霸安全专家李铁军认为,目前尚无法准确评估黑客利用漏洞获得了多少数据,因此普通用户仍然需要小心为上。李铁军表示,对重要服务,尽可能开通手机验证或动态密码,比如支付宝、邮箱等,登录重要服务,不仅需要验证用户名密码,最好绑定手机,加手机验证码登录。李铁军还建议用户修改重要服务的登录密码,“一个密码的使用时间不宜过长,超过3个月就该换掉了。”
对于普通用户,安全领域专家建议,近日在相关网站升级修复前,建议暂且不要登录网购、网银账户,尤其是对那些没有明确采取补救措施的网站,更应该谨慎避免泄密风险。在网站完成修复升级后,及时修改密码,避免引发次生危害。
美国新闻网站Vox周二撰文,对当天公布的OpenSSL“心脏出血”漏洞进行了全面解读。以下为文章全文:
什么是SSL?
SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。当用户访问Gmail.com等安全网站时,就会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。
这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。如果不法分子监听了用户的对话,也只能看到一串随机字符串,而无法了解电子邮件、Facebook帖子、信用卡账号或其他隐私信息的具体内容。
SSL最早在1994年由网景推出,1990年代以来已经被所有主流浏览器采纳。最近几年,很多大型网络服务都已经默认利用这项技术加密数据。如今,谷歌、雅虎和Facebook都在使用SSL默认对其网站和网络服务进行加密。
什么是“心脏出血”漏洞?
多数SSL加密的网站都使用名为OpenSSL的开源软件包。本周一,研究人员宣布这款软件存在严重漏洞,可能导致用户的通讯信息暴露给监听者。OpenSSL大约两年前就已经存在这一缺陷。
工作原理:SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。研究人员发现,可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。
该漏洞的影响大不大?
很大,因为有很多隐私信息都存储在服务器内存中。普林斯顿大学计算机科学家艾德·菲尔腾(Ed Felten)表示,使用这项技术的攻击者可以通过模式匹配对信息进行分类整理,从而找出密钥、密码,以及信用卡号等个人信息。
丢失了信用卡号和密码的危害有多大,相信已经不言而喻。但密钥被盗的后果可能更加严重。这是是信息服务器用于整理加密信息的一组代码。如果攻击者获取了服务器的私钥,便可读取其收到的任何信息,甚至能够利用密钥假冒服务器,欺骗用户泄露密码和其他敏感信息。
谁发现的这个问题?
该漏洞是由Codenomicon和谷歌安全部门的研究人员独立发现的。为了将影响降到最低,研究人员已经与OpenSSL团队和其他关键的内部人士展开了合作,在公布该问题前就已经准备好修复方案。
谁能利用“心脏出血”漏洞?
“对于了解这项漏洞的人,要对其加以利用并不困难。”菲尔腾说。利用这项漏洞的软件在网上有很多,虽然这些软件并不像iPad应用那么容易使用,但任何拥有基本编程技能的人都能学会它的使用方法。
当然,这项漏洞对情报机构的价值或许最大,他们拥有足够的基础设施来对用户流量展开大规模拦截。我们知道,美国国家安全局(以下简称“NSA”)已经与美国电信运营商签订了秘密协议,可以进入到互联网的骨干网中。用户或许认为,Gmail和Facebook等网站上的SSL加密技术可以保护他们不受监听,但NSA却可以借助“心脏出血”漏洞获取解密通讯信息的私钥。
虽然现在还不能确定,但如果NSA在“心脏出血”漏洞公之于众前就已经发现这一漏洞,也并不出人意料。OpenSSL是当今应用最广泛的加密软件之一,所以可以肯定的是,NSA的安全专家已经非常细致地研究过它的源代码。
有多少网站受到影响?
目前还没有具体的统计数据,但发现该漏洞的研究人员指出,当今最热门的两大网络服务器Apache和nginx都使用OpenSSL。总体来看,这两种服务器约占全球网站总数的三分之二。SSL还被用在其他互联网软件中,比如桌面电子邮件客户端和聊天软件。
发现该漏洞的研究人员几天前就已经通知OpenSSL团队和重要的利益相关者。这让OpenSSL得以在漏洞公布当天就发布了修复版本。为了解决该问题,各大网站需要尽快安装最新版OpenSSL。
用户应当如何应对该问题?
不幸的是,如果访问了受影响的网站,用户无法采取任何自保措施。受影响的网站的管理员需要升级软件,才能为用户提供适当的保护。
不过,一旦受影响的网站修复了这一问题,用户便可以通过修改密码来保护自己。攻击者或许已经拦截了用户的密码,但用户无法知道自己的密码是否已被他人窃取。
- [返回首页] [打印] [返回上页]
