网络世界究竟有多大的风险?仿若潘多拉的盒子,答案在一夜间迅速揭开。
本周,安全协议OpenSSL爆出本年度最严重的安全漏洞Heartbleed,被形象地形容为致命的“心脏出血”。由于使用范围广泛,受影响的范围波及网银、支付、电商、邮件等多种涉及个人账号以及密码的服务,而且由于技术要求不高,使得被信息被盗取的几率进一步加大。O penS S L“心脏出血”漏洞为本年度互联网上最严重的安全漏洞,影响至少两亿中国网民。
虽然多家网站都表示已经完成了修补处理,但有顶级“白帽”(搜索引擎优化业界,使用正当手段优化网站的被称为白帽)向南都记者透露,由于漏洞早在两年前已经被提出,所以这个漏洞影响了多少网站仍在评估当中。金山毒霸安全专家李铁军在接受南都记者采访时表示,建议用户在1- 2天后,即网站升级完成后,再登录网站修改密码,而不是此时“送羊入虎口”。
危机在世界范围内引爆
S S L是1 9 9 4年最先由网景(N etscape)推出,自1990年代以来一直面向各款主流浏览器,大多数的SSL加密网站都基于名为O penSSL的开源软件包。
被曝光的O penSSL为网络通信提供安全及数据完整性的一种安全协议,
囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,在一些涉重要个人信息的网站如网银、在线支付、电商网站、门户网站、电子邮件等服务上被广泛使用。
本周,美国方面的研究人员公布该软件存在一个会导致用户通讯内容泄露的重要漏洞,更为致命的是O penSSL存在这种漏洞已有约两年时间。利用这一漏洞,黑客坐在自己家里电脑前,就可以实时获取到很多https开头网址的用户登录账号密码,包括大批网银、知名购物网站、电子邮件等。
具体来说,即SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。但研究人员发现,可以通过其他手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。
李铁军告诉南都记者,一般来说如果利用漏洞对技术的要求越高,那么用户和企业受到的影响就会越小。但此次涉及的漏洞有两个特点,一是其涉及的都是最重要的用户信息,容易导致财产的损失;二是他对技术的要求比较低,可利用性非常好,因此危机一瞬间就在世界范围内引爆。
上述顶级“白帽”告诉南都记者,自漏洞首度被曝光后,这几天国内各大网站已经连夜低调地开始大规模修复升级,“白帽”也在加紧测试漏洞影响,除此之外黑客也在加速利用漏洞截取信息。
