在過去的兩天里,互聯網曝出的一項漏洞,讓一些安全專家和黑客難眠。其理由在于一個被黑客社區命名為心臟出血的漏洞,利用該漏洞,黑客可以即時獲取用戶登錄賬號和暗碼。
這對黑客來說是千載難逢的好時機,對安全廠商也是一舉揚名的好時機,而互聯網公司可能有一失足成千古恨的危險。360公司副總裁、首席卡利百家樂破解隱私官譚曉生說。
不過也有人以為安全公司是夸大其詞,某國外安全公司中國區專業總監陳成功以為,心臟出血的確是一個漏洞,這個漏洞也對照慣例,但兩年中一直并沒有爆百家樂莊問路發,真正有才幹利用這個漏洞發動進攻的也只是很小一部門黑客。
他以為,存在黑客進攻獲得用戶數據后過一段時間再牟利的可能性。但也不去除有些安全公司并沒有做實際工作而借機百家樂 在線炒作。而中招的互聯網公司和用戶提防謹嚴、寧可靠其有不可靠其無的心態還是值得贊許的。
出血攪動互聯網心臟
所謂心臟出血,指的是OpenSSL源代碼出現的一個漏洞。這一漏洞的存在,可以讓進攻者獲得服務器上64K內存中的數據內容。這部門數據中,可能存有安全證書、用戶名與暗碼、聊天工具的、電子郵件以及主要的商務文檔等數據。
譚曉生稱,OpenSSL是互聯網上應用最廣泛的安全傳輸設法,它是互聯網上銷量最大的門鎖,各大網銀、在線支付、電商網站和門戶網站都在採用,一旦這個門鎖出現疑問,幾乎所有的主要的網站都會裸奔。
安全公司Codenomicon和google安全工程師發明了OpenSSL源代碼的這個漏洞,并提交給相關控制機構,隨后官方很快發表了漏洞的修復方案。OpenSSL大概兩年前就已經存在這一缺陷。
SSL是一種流行的加密專業,可以保衛用戶通過互聯網傳輸的隱私信息。當用戶拜訪網絡銀行等安全網站時,就會在URL地址旁看到一個鎖,表明你在該網站上的通信信息都被加密。這個鎖表明,第三方無法讀取你與該網站之間的任何通信信息。在后臺,通過SSL加密的數據只有收到者才能解密。假如不法分子監聽了用戶的對話,也只能看到一串隨機字符串,而無法了解電子郵件、Facebook帖子、信用卡賬號或其他隱私信息的具體內容。
OpenSSL是基于SSL的一個開源免費軟件,由于免費和易用,風靡互聯網,許多網站都在採用這一專業。
許多隱私信息都儲存在服務器的內存中,進攻者通過模式匹配信息進行分類整理后,可以找出暗碼以及信用卡號等個人信息。
大批中國網站中槍
安全網站ZOOMEYE掃描了整個世界的服務器,做了一次整體的體檢。中國有33303臺服務器存在漏洞,美國則有24萬臺服務器可能有疑問,12306鐵路客戶服務中央、公共號、支付寶和淘寶等都遭受陰礙,但均已修復。
阿里小微金融服務集團首席風險官、阿里巴巴集團副總裁胡曉明通知中國年輕報:OpenSSL是昨天爆發的,我們已經完全修復了在OpenSSL出現漏洞以后安全信息的泄露疑問。我們除了OpenSSL加密機制以外,還有自己的加密機制,來確保客戶賬號的安全。
360公司宣稱,這一漏洞至百家樂接龍玩法少陰礙2億中國網民,一批採用s登錄方式的主流網站有三成中招,包含有大家最常用購物、網銀、社交等著名網站和服務。
心臟出血漏洞最大的危害之一是,黑客獲得用戶的信息并不著急建議進攻,用戶和網站本身也無知道自己的資料泄露,一旦在未來某刻危機爆發,將是連鎖性大規模的安全事件。
互聯網還安全嗎
譚曉生稱,這次漏洞造成的巨大疑問并不能由用戶自己辦理,許多網站的服務器被進攻,即便用戶做好防范,但黑客會直接從網站服務器上獲取用戶的賬戶和暗碼,中國大概有3萬臺服務器存在該漏洞。7日、8日拜訪過這些服務器的用戶面對很大的安全風險。
譚曉生發起,網站要趕緊升級,目前檢測到的只有一小半網站升級,大網站反映趕快連夜升級,但中小網站和政府網站還有一大半沒有升級。有些網銀修復需要兩天時間,登陸網銀的時候要特別提防。
假如這兩天用戶曾經登錄過需要賬號的網站或者網銀等,用戶需要看看這些網站修復沒有,對于已修復的網站,其用戶應該改動暗碼,假如網站還沒有改動漏洞的話,改動暗碼也是無用的。
網絡安全企業、北京知道創宇信息專業有限公司研究部總監余弦發起在確定有關網站安全之前,不要採用網銀、電子支付和電商購物等性能,以避免用戶暗碼被鉆了漏洞的黑客捕獲。
安全專家發起,在此漏洞得到修復前,臨時不要在遭受漏洞陰礙的網站上登錄賬號。
這次事件是不是表明互聯網不再安全?
譚曉生以為,OpenSSL軟件有紕漏,并不典型SSL環球的安全協議尺度出現漏洞。也不應該對開源軟件和安全協議尺度產生懷疑和不信任。沒有絕對安全的加密算法,開源實在意味著接納所有人的審查,所以出現漏洞幾率相當少。
越是遭遇雷同今天的場合越要為開源社區提供勉勵和協助,目前的一分協助能為你換來下一個十年乃至二十年的安全網絡。有安全專家百家樂 如何 抓 牌呼吁。
|
2025-06-15
|
