• 客服电话(8:00-17:00)
    0532-81669888
  • VIP服务(7x24小时)
    0532-81669888
  • 客服邮箱
    ask@zhaofeng.net
  • 在线客服
    售前QQ:962650760
    售后QQ:835839397
当前位置:首页 > 动态 > 行业动态
高危漏洞“心脏流血”突袭互联网
时间:2014-4-14 8:29:54  关注度:1027

高危漏洞“心脏流血”突袭互联网

这两天,杭州女孩王晓蕙(化名)告诉记者,她在纠结到底要不要更改网站账户密码。因为48日早上,她上淘宝网买下了心仪很久的小家电,但当天就爆出消息称,一个名为OpenSSL的基础网络传输软件存在重大漏洞,用户登录网银、购物网站、电子邮件等,都可能会泄露账户密码。

针对这个漏洞,不少计算机专家表示,用户不用过于担忧,这个漏洞的修复并不复杂。另外,若网站公布修复公告后,用户应及时修改密码,而未发布公告的网站,用户应减少登录,且不要急着修改密码。

2亿中国用户受影响

48日,一个名为OpenSSL的软件,被爆出存在重大漏洞,其被命名为“心脏流血”,比喻像心脏流血般重大而危急。据了解,“心脏流血”漏洞首先被谷歌研究员尼尔·梅塔发现。

黑客可以通过这个漏洞,获取到以https开头网址的用户登录账号和密码、cookie等一概隐私信息。而据360网站安全检测平台,对国内120万家经过授权的网站扫描发现,有3万多个网站主机受到了漏洞影响。在47日、48日期间,共计约有2亿中国用户访问了存在漏洞的网站。

更令人紧张的是,这些网站包含了人们最常用的购物、社交等知名网站和服务。并且,这与你的电脑是否足够安全无关,只要你登录的网站使用了存在漏洞的OpenSSL版本,用户登录网站时的一些信息,就可能被伺机而动的黑客所获取。

据称,这一漏洞被公开后,一部分雅虎用户数据,在一天之内遭到泄露。而360网站卫士的OpenSSL漏洞检测平台还发现,清华大学等几所高校的某项网络服务,也存在“心脏出血”漏洞。

360网络攻防实验室检测发现,全球开放443端口的主机共有40041126个,其中受OpenSSL“心脏出血”漏洞影响的主机有32335个。

隐私信息或被窃取

据了解,黑客获取的是离内存最近的64K字节的内容,大概是六万个字,其中很可能包含用户隐私信息,甚至网站密钥。

并且黑客攻击“心脏流血”并不需要很高门槛,因为入侵代码已经被公布。黑客只要有足够的耐心和时间,就可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据,“甚至连网站的源代码都可能被窃取。”一位在杭州从事计算机行业多年的王姓程序员(以下简称王先生)表示。

网络安全专家、南京翰海源信息技术有限公司创始人方兴此前表示,通过这个漏洞,可以泄露以下四方面内容:一是私钥,所有https站点的加密内容全能破解;二是网站用户密码,用户资产如网银隐私数据被盗取;三是服务器配置和源码,服务器可以被攻破;四是服务器“挂掉”不能提供服务。

可能有些人会庆幸,还好那几天我都用手机APP登录。但360副总裁谭晓生,在接受采访时曾表示:“手机APP用到OpenSSL软件的占到50%,我们扫描到一万多个问题网站。”

修改密码要视情况而定

使用网上银行或有U盾的用户,其账户的安全会不会受到影响?相关人士表示,影响几乎为零。

 “如果银行使用了带有该漏洞的OpenSSL开源软件版本,会有一定影响。但是这个漏洞只是窃取内存中的数据,银行的用户密码还有一重加密保护,一般不会在SSL服务器解密,所以也就很难拿到银行用户的密码。”中国金融认证中心应用开发部总经理林峰,此前在接受采访时解释。

什么是SSL?“简单地来说,SSL是一种加密协议,如果网站不采用这种加密协议的话,用户在登录时候的用户名、密码等信息,会以明文的形式进行传输,非常不安全。”王先生解释说。

那我们现在是否需要去修改相关网站的密码呢?这个得看情况,王先生建议说:“如果这个网站并未升级,那么你去登录了,就会有一定的风险,因为你的用户名等相关信息,都会存在网站的服务器内存上,黑客只要入侵这个服务器,对这些数据进行解码,就可以知晓相关信息。如果这个网站已经确认升级过其OpenSSL,那么修改密码是一种比较保险的行为。”

此外,金山毒霸安全专家李铁军此前也建议,尽可能开通手机验证或动态密码,最好绑定手机。这样登录重要服务时,除了需要验证用户名密码,还需加手机验证码登录。那么就算黑客拿到账户密码,登录还有另一道门槛。安全专家建议,一个密码的使用时间不宜过长,超过3个月就该换一换。

纵深

登录网站就会被窃取密码?

事实确实如此。王先生表示,这个漏洞其实并不是这段时间才出现的,实际上它出现于2012年。至今两年多,谁也不知道是否已经有黑客利用漏洞获取了用户资料。而且由于该漏洞即使被入侵,也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄露信息,从而通知用户进行补救。不过,只有在用户使用有漏洞的服务时,正好有人在利用监视这个漏洞,你的密码才有可能被窃取。所以,一般用户不用太过紧张。

怎样辨别网站安全性?

在决定是否要修改密码前,很多人还在纠结一个问题:怎么知道这个网站是否安全或已升级呢?王先生表示,一个是看看相关网站是否发布相关公告;另一个,可以去网上搜索OpenSSL的检测网站,把相关网站的网址输入进去,就能够了解这个网站到底安不安全了。此外,王先生还介绍了一个简单的方法,识别网站是不是采用SSL加密,“只需要看浏览器地址栏是http://,还是https://,以https://访问的网站就一定是采用SSL加密的,反之则不是。”

文章编辑:青岛网站制作公司