精睿(vc52).网络安全

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 3826|回复: 2

[IT 资讯] OpenSSL漏洞引网络安全地震:涉及2亿用户 3万多个网站

[复制链接]
发表于 2014-4-12 08:29 | 显示全部楼层 |阅读模式

马上注册,查看更多内容,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
2014年4月8日,在互联网世界发生了两件大事,除了微软正式宣布XP停止服务退役之外,更令人关注的是OpenSSL的大漏洞曝光。

OpenSSL的大漏洞是由Codenomicon和谷歌安全部门的研究人员独立发现的。为了将影响降到最低,研究人员已经与OpenSSL团队和其他关键的内部人士展开了合作,在公布该问题前就已经准备好修复方案。

某网站安全检测平台对国内120万家经过授权的网站扫描,其中有3万多个网站主机受漏洞影响。4月7日、4月8日期间,共计约两亿网友访问了存在漏洞的网站。目前,大部分网站和支付平台已经完成了修复工作。

急补“心脏出血”漏洞

出现漏洞后,让特定版本的OpenSSL成为无需钥匙即可开启的废锁,入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据。

OpenSSL被曝出的安全漏洞在黑客社区中被命名为“心脏出血”。利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到很多https开头网址的用户登录账号密码,包括网银、知名购物网站、电子邮件等信息。

据了解,OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,在中国的金融类网站、电商网站、门户网站上均广泛使用,被形容为“互联网上销量最大的门锁”。

然而,出现漏洞后,让特定版本的OpenSSL成为无需钥匙即可开启的废锁,入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据。

“OpenSSL‘心脏出血’漏洞为本年度互联网上最严重的安全漏洞,影响至少两亿中国网民,初步评估一批https登录方式的主流网站,有不少于30%的网站中招,其中包括大家最常用的购物、网银、社交、门户、微博、微信、邮箱等知名网站和服务。” 360安全专家石晓虹博士表示。

自这个漏洞被曝出后,安全专家们与黑客已经展开了激烈竞赛。腾讯方面称,“公司已在第一时间进行处理,目前相关的产品业务如邮箱、财付通、QQ、微信等都已经修复完毕,大家可以放心使用。”雅虎发言人表示,“我们的团队已经在雅虎的各个主要网站上成功完成修复,我们正在针对公司旗下其他的网站实施修复。”谷歌回应:“公司已对SSL的弱点进行了评估,并对关键服务发布了补丁程序。”此外,包括12306网站、陌陌、知乎、淘宝网、360应用等也已经完成修复。

除了各大网站之外,受影响的另一方则是在线支付。4月9日,中国金融认证中心(CFCA)官方网站挂出文章,针对OpenSSL漏洞对网银的影响进行了说明。“网银系统均使用商业级的SSL加密设备,很少有采用类似OpenSSL这样的开源软件,因此受到的影响较少。而对于普通用户,U盾可以完全放心使用。对于不能确认的网站,可通过一些免费的在线工具验证一下访问的网站是否存在这个漏洞。如果存在此漏洞的话,先暂停访问,等待漏洞得到修复。”

事实上,OpenSSL的漏洞早在两年前就出现了,有业内人士担忧不知道是否已有黑客利用漏洞获取了用户资料,而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。

艾媒CEO张毅在接受《中国经营报》记者采访时表示,对此次漏洞事件持乐观态度。“之前黑客盗取数据的情况应该会有,但是到目前为止没有出现大面积的泄露和资金流失,至少说明情况不是很严重。另外,现在大家重视起来,主流服务平台都会进行修复升级,所以以后的问题应该也不会特别大。”

商业机会涌现

为了防止类似的情况出现,一些安全类软件公司显然存在商业机会,尤其是针对企业的安全服务商,因为在这种情况下大家会更倾向于使用付费软件。

在此次OpenSSL漏洞给互联网企业带来系统性风险的同时,该事件也起到了警示作用。虽然在各大网站完成修复后,事情会逐渐恢复平静,但由于OpenSSL应用非常广泛,所以相对网站等表面上的应用,它在各种客户端、VPN、WAF等其他领域,也将带来更加隐蔽的风险,并将持续一段时间。

有专家指出,出于安全考虑,政府有关职能部门应在第一时间向全国发出警报。但从目前反应出的情况来看,我国重大安全事件的紧急处置及联动机制还不够健全。而国家应急中心一位负责人也指出,我国从2003年起,就开始试图建立漏洞触发机制,但这一块工作的细化和操作在实践层面还缺乏清晰的路径。

中国计算机学会信息安全专业委员会主任严明认为,对于政府职能部门,目前公安或者其他相关部门应当立即启动应急措施,促进通报漏洞信息,并强制推动所有受到漏洞影响的网站进行技术升级和修补。在这一阶段完成后,再对那些出现了财产侵占的非法行为进行查处追责。

而对于企业而言,则要意识到问题的重要性,北京知道创宇信息技术有限公司持续监测发现,一些机构升级了OpenSSL,如金山、百度、360等;一些选择暂停SSL服务,但仍继续使用其主要功能,如微信;有的为规避风险,干脆暂停网站全部服务;更有一部分根本没有采取任何措施。

另一方面,为了防止类似的情况出现,一些安全类软件公司显然存在商业机会。比如,360迅速推出OpenSSL漏洞在线检查工具,输入网址就能够检测网站是否存在该漏洞,帮助用户避免相应风险,同时还开通了热线电话,网站用户在升级和维护网站过程中,可以随时拨打该热线电话,获得免费全程技术支持。

不过在张毅看来,“像360这种企业以提供免费服务为主。而对于付费的安全软件服务商,尤其是针对企业的安全服务商也是不错的机会,包括卡巴斯基等,因为在这种情况下大家会更倾向于使用付费软件。”

就目前的情况而言,有业内专家建议,对重要服务,网民应尽可能开通手机验证或动态密码,比如支付宝、邮箱等,登录重要服务,不仅仅需要验证用户名密码,最好绑定手机,加手机验证码登录。这样就算黑客拿到账户密码,登录还有另一道门槛。如果随着事件进展,可能受波及的网络服务在增加或更明确,建议用户修改重要服务的登录密码。一个密码的使用时间不宜过长,超过3个月就该换掉了。
发表于 2015-3-11 16:59 | 显示全部楼层
这是不是可以认为是为实名制做铺垫啊?
回复 支持 反对

使用道具 举报

发表于 2015-3-11 17:31 | 显示全部楼层
{:soso__63d1926b660cc506-dae2c33ed4b987b5-c0c60055650eee32781aab1536e76667.jpg_1:}
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|小黑屋|文字版|RSS|站长邮件|精睿.网络安全 ( 鄂ICP备07005250号 )

GMT+8, 2018-1-24 07:57 , Processed in 0.143937 second(s), 32 queries , Gzip On.

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表