OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,广泛应用于网银、在线支付、电子邮件服务及各大互联网公司的网站,如Facebook、谷歌和雅虎等公司的网站,Heartbleed漏洞于周一被曝光,该漏洞允许黑客不露踪迹地窃取数据。目前,没有任何组织承认自己成为Heartbleed漏洞的受害者,但网络安全公司表示,他们发现一些知名的黑客团体正利用该漏洞扫描网络,以寻找易受攻击的网络。
Heartbleed安全漏洞(也被成为:心脏流血)搞得人心惶惶。好消息是,苹果、黑莓和微软服务并没有受到影响。坏消息是,雅虎和其他科技网站都难逃一劫。不过,更大的“危险”还在后面:Heartbleed漏洞极有可能蔓延到移动手机。谷歌已察觉此风险,并承认安卓系统中曾使用了比较“脆弱”的OpenSSL。不过,该公司通过升级安卓系统(安卓4.1)阻止了Heartbleed在安卓 平台上的蔓延。MobileIron发布公告表示,其平台并未受到Heartbleed影响,不过已安装 BYOD Portal 的用户应该检查他们所使用的OpenSSL版本。此外,黑莓公司表示,它们有可能升级其安卓平台上的BBM客户端。
据phonearena网站报道称,任何此前从谷歌Play,Windows Store和苹果应用商店中下载过软件的用户可能都面临着Heartbleed漏洞。如果用户所下载的软件,连接了用来储存和调整数据的安全服务器,就有可能在过去几年暴露了Heartbleed安全漏洞。
不过,我们目前还不知道具体那些应用软件存在OpenSSL安全漏洞。通过即时通讯软件留存的用户姓名、密码信息,银行账号甚至VoIP通话都可能面临“被盗”风险。可以这么说,Heartbleed是一个没有“极限”的漏洞,可以用仅占64k内存空间的小脚本 “引爆”,且不留任何蛛丝马迹。
此外,我们现在还不知道,OpenSSL安全漏洞对移动领域的影响有多大。现在移动用户数已经超过传统计算机用户,但几乎没有任何信息提醒移动用户注意潜在风险。Heartbleed漏洞不是操作系统问题,也不是浏览器问题,它是安全层出现了漏洞。
在全球掀起轩然大波的OpenSSL“心脏流血”漏洞,暴露出互联网安全领域的一大薄弱环节:该项目的工作量十分艰巨,但多数工作都仅由4位欧洲程序员以及美国马里兰的1位前军事顾问承担。
这个团队由11人组成,但多数都是志愿者,只有1人全职为其效力。他们每年的预算不到100万美元,而本周一披露的“心脏流血”漏洞则是一位年轻的德国研究人员的一个无心之举导致的。
“这个项目的人员之少令人震惊。”美国安全公司Social & Scientific Systems加密专家肯尼斯·怀特(Kenneth White)说,“要知道,这可是当今互联网上最为复杂的通讯代码之一。”
OpenSSL项目创立于1998年,目的是提供一组免费的加密工具。经过多年的发展后,全世界大约有三分之二的网络服务器都采用了这一工具。各大网站、网络设备公司和政府机构都利用OpenSSL工具保护个人信息和其他敏感数据。
TrendMicro监测了谷歌应用商店近40万款应用软件,有将近7000款软件正连接着易受攻击的服务器,其中包括了15款银行类应用,39款支付应用,10款在线购物应用。你可以说,遭受安全漏洞攻击的概率不到2%,但这2%确确实实存在着。美国银行、USAA以及花旗银行等银行都已经升级了他们的安全认证。
OpenSSL软件利用数字证书和“密钥”实现网络通信的高强度加密,让信息能安全地在互联网和企业网络上传输。
最糟糕的情况就是,用户没有任何可以修补这一漏洞的办法。没办法,它们只能继续使用在线银行服务或者进行网购。只有上述服务在他们的终端上解决了这些问题,我们才能放心使用它们,或者就干脆暂停使用它们。
Bluebox首席技术官Jeff Forristal表示:“接受风险是用户的选择,但是它们应该被告知危险的存在。”
SafeLogic首席执行官Ray Potter表示:“尽管我们现在还未看到Heartbleed所带来的最糟糕一面,但我们可以想象到,未来一些黑客肯定会使用工具和“病毒”来盗取用户信息,甚至攻击系统。”
用户信息极易被盗取
“心脏出血”网络上简称“心血”,该漏洞可能是近年来互联网中最致命的漏洞之一:利用该漏洞,黑客可以随时获取众多https开头网站内用户的用户名和密码,通过这些信息盗取用户的私人财产,危险程度极大。
据了解,由于“心血”漏洞的爆发非常突然,包括淘宝、网银、微信微博、邮箱等众多知名网站纷纷中招,虽然不少网站的技术人员已经在紧急修复该漏洞,不过在此期间登录过这种https开头网站的用户信息是否已经被泄露目前不得而知。
原理简单但危害较大
“心血”漏洞到底有多厉害?“其实这一漏洞的原理并不复杂,就是通过技术手段获得网站服务器中用于加密互联网传递信息的网络密钥然后截获用户信息,或者黑客还可以直接潜伏在网站服务器的内存中,通过耐心地获取更多的用户数据,慢慢地拼凑出完整的用户信息。”张建介绍,通过这样的方式,黑客可以随时快捷获取众多网站的众多用户信息。
建议市民修改密码
既然“心血”漏洞的危害这么大,对于普通市民而言,我们能做什么进行防护吗?对此,张建认为,普通市民要防范这种大规模集中爆发的漏洞非常困难,这种漏洞主要考验的是相关网站的技术人员,由他们在内部进行网站升级等修复工作,以解决漏洞造成的危害。“不过市民可以做些力所能及的事情防护漏洞可能造成的危害。”张建说,由于该漏洞主要针对https开头的网站,因此如果最近几天内市民登录过这种网站,特别是登录过淘宝、网银等存在财产安全的网站时,建议市民修改自己的登录或支付密码,然后利用这个时间差,让相关网站的技术人员有时间修复漏洞;或者立刻将自己电脑中的杀毒软件进行升级,也应该一定程度可以保护自己的信息和财产安全。
因此西西建议 近期不要使用手机登陆网银、网上支付等支付账号!