本周二,黑客和“白帽”(使用正当手段优化网站的IT人士)们经历了一个不眠之夜。
他们有的在狂欢,逐个进入戒备森严的网站,耐心地收集泄漏数据,拼凑出用户的明文密码;有的在艰苦升级系统,统计漏洞信息,还要准备说服客户的说辞,让他们意识到问题的严重性……
当天,从亚马逊到雅虎,多个国际大牌互联网公司都召开紧急会议,应对最新发现的互联网漏洞“心脏出血(Heart bleed)”。这是发现者们给这个号称本年度最严重安全漏洞起的形象的名字。
“心脏出血”是Open SSL(作为互联网的基础安全协议,它被广泛运用,全球约2/3网站都使用该技术)中的一个漏洞,后者是旨在保证互联网通讯安全的一种加密协议。周一被曝光的漏洞影响了互联网的许多方面,因为Open SSL是Apache Web服务器的默认安全通讯选项。Open SSL在虚拟专用网络(VPN)技术中也被普遍使用,后者是一种能让企业员工远程连上公司网进行工作的技术。
安全专家们说,“心脏出血”漏洞将影响至少2亿中国网民,经初步评估,一批采用“https”登录方式的主流网站,有不少于30%的网站中招,其中包括大家最常用的购物、网银、社交、门户、微博、微信、邮箱等知名网站和服务。利用这一漏洞,黑客可以坐在自己家中,就获取到用户的登录账号、密码、cookie等敏感数据。
一位安全行业人士透露,他曾在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
同时,经360网络攻防实验室检测发现,全球开放443端口的主机共有40041126个,其中受“心脏出血”漏洞影响的主机超过3.2万个。
360安全专家石晓虹告诉记者,Open SSL最新被发现的这一漏洞堪称“网络核弹”,网银、网购、网上支付、邮箱等众多网站都可能受其影响。无论用户电脑多么安全,只要网站使用了存在漏洞的Open SSL 版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。
石晓虹提醒广大互联网服务商,尽快将Open SSL 升级,以进行修复,同时建议广大网友,在此漏洞得到修复前,暂时不要在受到漏洞影响的网站上登录账号。
另有专家在接受媒体采访时建议普通用户,暂时不要急于更换密码,要保持耐心,等待相关网站完成修补安全漏洞之后再更换密码,因为如果网站还未修复漏洞,修改密码的操作反而可能导致新密码被窃。应当关注自己登录的网站是否已经修复,一旦确认漏洞被修复,立即修改密码。
而瑞星安全专家唐威在接受记者采访时则认为,这个漏洞影响可能没有那么大,因为它只是针对特定版本。“升级到最新的Open SSL版本,后期定期打补丁,就可以消除掉这一漏洞,这是相关互联网企业目前最便捷的做法。”
但不管怎样,这一漏洞被发现后,亚马逊、雅虎等多个全球著名互联网企业和密码管理公司Last Pass等都纷纷表示在给Open SSL软件打上最新发布的补丁。