手机看中经经济日报微信中经网微信

“网络核弹”当前 全球互联网大佬紧急排险

2014年04月10日 08:25    来源: 今日早报    

  本周二,黑客和“白帽”(使用正当手段优化网站的IT人士)们经历了一个不眠之夜。

  他们有的在狂欢,逐个进入戒备森严的网站,耐心地收集泄漏数据,拼凑出用户的明文密码;有的在艰苦升级系统,统计漏洞信息,还要准备说服客户的说辞,让他们意识到问题的严重性……

  当天,从亚马逊到雅虎,多个国际大牌互联网公司都召开紧急会议,应对最新发现的互联网漏洞“心脏出血(Heart bleed)”。这是发现者们给这个号称本年度最严重安全漏洞起的形象的名字。

  “心脏出血”是Open SSL(作为互联网的基础安全协议,它被广泛运用,全球约2/3网站都使用该技术)中的一个漏洞,后者是旨在保证互联网通讯安全的一种加密协议。周一被曝光的漏洞影响了互联网的许多方面,因为Open SSL是Apache Web服务器的默认安全通讯选项。Open SSL在虚拟专用网络(VPN)技术中也被普遍使用,后者是一种能让企业员工远程连上公司网进行工作的技术。

  安全专家们说,“心脏出血”漏洞将影响至少2亿中国网民,经初步评估,一批采用“https”登录方式的主流网站,有不少于30%的网站中招,其中包括大家最常用的购物、网银、社交、门户、微博、微信、邮箱等知名网站和服务。利用这一漏洞,黑客可以坐在自己家中,就获取到用户的登录账号、密码、cookie等敏感数据。

  一位安全行业人士透露,他曾在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。

  同时,经360网络攻防实验室检测发现,全球开放443端口的主机共有40041126个,其中受“心脏出血”漏洞影响的主机超过3.2万个。

  360安全专家石晓虹告诉记者,Open SSL最新被发现的这一漏洞堪称“网络核弹”,网银、网购、网上支付、邮箱等众多网站都可能受其影响。无论用户电脑多么安全,只要网站使用了存在漏洞的Open SSL 版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。

  石晓虹提醒广大互联网服务商,尽快将Open SSL 升级,以进行修复,同时建议广大网友,在此漏洞得到修复前,暂时不要在受到漏洞影响的网站上登录账号。

  另有专家在接受媒体采访时建议普通用户,暂时不要急于更换密码,要保持耐心,等待相关网站完成修补安全漏洞之后再更换密码,因为如果网站还未修复漏洞,修改密码的操作反而可能导致新密码被窃。应当关注自己登录的网站是否已经修复,一旦确认漏洞被修复,立即修改密码。

  而瑞星安全专家唐威在接受记者采访时则认为,这个漏洞影响可能没有那么大,因为它只是针对特定版本。“升级到最新的Open SSL版本,后期定期打补丁,就可以消除掉这一漏洞,这是相关互联网企业目前最便捷的做法。”

  但不管怎样,这一漏洞被发现后,亚马逊、雅虎等多个全球著名互联网企业和密码管理公司Last Pass等都纷纷表示在给Open SSL软件打上最新发布的补丁。


(责任编辑: 关婧 )

    中国经济网声明:股市资讯来源于合作媒体及机构,属作者个人观点,仅供投资者参考,并不构成投资建议。投资者据此操作,风险自担。
上市全观察