AS网站目录(www.adminso.com):“心脏出血”漏洞突袭2亿中国网民 网络世界究竟有多大的风险?仿若潘多拉的盒子,答案在一夜间迅速揭开。本周,安全协议OpenSSL爆出本年度最严重的安全漏洞Heartbleed,被形象地形容为致命的“心脏出血”
AS网站目录(www.adminso.com):“心脏出血”漏洞突袭2亿中国网民
网络世界究竟有多大的风险?仿若潘多拉的盒子,答案在一夜间迅速揭开。
本周,安全协议OpenSSL爆出本年度最严重的安全漏洞Heartbleed,被形象地形容为致命的“心脏出血”。由于使用范围广泛,受影响的范围波及网银、支付、电商、邮件等多种涉及个人账号以及密码的服务,而且由于技术要求不高,使得被信息被盗取的几率进一步加大。OpenSSL“心脏出血”漏洞为本年度互联网上最严重的安全漏洞,影响至少两亿中国网民。
虽然多家网站都表示已经完成了修补处理,但有顶级“白帽”(搜索引擎优化业界,使用正当手段优化网站的被称为白帽)向记者透露,由于漏洞早在两年前已经被提出,所以这个漏洞影响了多少网站仍在评估当中。安全专家在接受记者采访时表示,建议用户在1- 2天后,即网站升级完成后,再登录网站修改密码,而不是此时“送羊入虎口”。
危机在世界范围内引爆
SSL是1994年最先由网景(Netscape)推出,自1990年代以来一直面向各款主流浏览器,大多数的SSL加密网站都基于名为OpenSSL的开源软件包。
被曝光的OpenSSL为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,在一些涉重要个人信息的网站如网银、在线支付、电商网站、门户网站、电子邮件等服务上被广泛使用。
本周,美国方面的研究人员公布该软件存在一个会导致用户通讯内容泄露的重要漏洞,更为致命的是OpenSSL存在这种漏洞已有约两年时间。利用这一漏洞,黑客坐在自己家里电脑前,就可以实时获取到很多https开头网址的用户登录账号密码,包括大批网银、知名购物网站、电子邮件等。
具体来说,即SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。但研究人员发现,可以通过其他手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。
安全专家告诉记者,一般来说如果利用漏洞对技术的要求越高,那么用户和企业受到的影响就会越小。但此次涉及的漏洞有两个特点,一是其涉及的都是最重要的用户信息,容易导致财产的损失;二是他对技术的要求比较低,可利用性非常好,因此危机一瞬间就在世界范围内引爆。
上述顶级“白帽”告诉南都记者,自漏洞首度被曝光后,这几天国内各大网站已经连夜低调地开始大规模修复升级,“白帽”也在加紧测试漏洞影响,除此之外黑客也在加速利用漏洞截取信息。
有多少网站受到影响?
如何区分一个网站是否有用该服务,有两个较为简单的方法,一是看网址开头是否显示为https,二是看URL左侧是否有“锁头”图标。
自这个漏洞被爆出后,全球的黑客与安全专家们已经展开了激烈竞赛。截至昨日下午6点,Zoom Eye系统扫描的数据显示中国受影响的大站包括12306网站、微信公众号、QQ邮箱、支付宝、淘宝网、知乎、陌陌、雅虎、比特币中国、360应用,但上述网站均已完成修复。
除此之外,YY某服务也受到此次漏洞影响,但并未完成修复。
由于OpenSSL漏洞排山倒海向互联网安全界袭来,多家网站也发表声明表示并未受到影响。小微金融服务集团(筹)首席风险官胡晓明昨日在出席公开活动时表示,经过一夜加班,阿里体系已经完成修复,不再存在风险。京东方面则表示,前天较早时间就接收到了openssl Heartbleed漏洞的相关信息,进行了全面排查,并于昨天就完成了修补处理。百度方面则表示,百度钱包在这次风暴中未受影响。
专家建议1-2天后再登录系统修改密码
专家建议,由于OpenSSL漏洞并不涉及客户端,而是在用户向服务端提供信息的过程中,黑客可以利用漏洞从服务器内存中窃取64KB数据,因此不易察觉。建议,用户首先在使用服务时应该留意是否涉及https开头,如果是以此开头则使用了OpenSSL协议,建议用户不要在此时登录网站修改密码,因为很可能是“送羊入虎口”。“建议等各大网站修复升级完成后,待1-2天后再登录系统修改密码,同时最近两天也可以留意账户是否出现异常。”
声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!