互聯(lián)網(wǎng)是隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展正變得越來越“密”,“密”得現(xiàn)在幾乎到處都可以用到互聯(lián)網(wǎng),網(wǎng)絡(luò)時代正變得越來越“名副其實”。但令人詫異的是,雖然這張網(wǎng)正變得越來越密,但也難以抵擋“泄漏”的問題,而且漏出的居然是信息時代人們最關(guān)心的數(shù)據(jù)和信息安全問題,這個巨大的“網(wǎng)”是如何“漏”成篩子的?作為終端用戶的我們又該如何應(yīng)對?
互聯(lián)網(wǎng)經(jīng)歷“心臟出血” 信息安全遭遇“生命危機(jī)”
全球互聯(lián)網(wǎng)在4月8日經(jīng)歷了一場“心臟出血”。多家全球媒體當(dāng)天報道稱,被廣泛使用的互聯(lián)網(wǎng)基礎(chǔ)安全協(xié)議OpenSSL被發(fā)現(xiàn)存在巨大安全漏洞,利用該漏洞,黑客可以獲取大量https開頭網(wǎng)址的用戶登錄賬號密碼,包括全球主要網(wǎng)站、電子郵件和網(wǎng)上支付在內(nèi)的服務(wù)都受到波及,實際損失尚難估計。
《紐約時報》報道稱,這個被取名為“心臟出血”(Heartbleed)的漏洞由一個芬蘭研究小組和谷歌公司的研究者在上周發(fā)現(xiàn),并于本周一(4月7日)正式對外公布。利用該漏洞,黑客可以讀取網(wǎng)絡(luò)服務(wù)器上的內(nèi)存信息,從中獲取多種加密的用戶信息。
雅虎旗下網(wǎng)站湯博樂(Tumblr)的安全團(tuán)隊發(fā)文表示:“這代表所有我們都相信的,用來保護(hù)我們郵箱和信用卡信息的那個小鎖標(biāo)記(HTTPS),反而讓所有這些個人信息能被懂得如何操作的人所獲取。”
英國衛(wèi)報報道稱,該漏洞是在2011年被引入該協(xié)議的,以目前狀況看,漏洞的出現(xiàn)屬于意外。
事發(fā)后,OpenSSL的技術(shù)團(tuán)隊已經(jīng)迅速推出了補上該漏洞的新版協(xié)議,供互聯(lián)網(wǎng)公司修復(fù)。全球各地的網(wǎng)絡(luò)安全人員也迅速行動起來。雅虎、谷歌、亞馬遜等主要網(wǎng)站均表示已經(jīng)修復(fù)或正在修復(fù)相關(guān)問題。在國內(nèi),騰訊已宣布其旗下產(chǎn)品的相關(guān)漏洞都已經(jīng)修復(fù)。
《紐約時報》稱,一些提前得到信息的公司在周二下午已經(jīng)完成了漏洞修復(fù)。
這種獲取技術(shù)并不會留下痕跡,因而此前究竟有多少信息被盜取難以確認(rèn)。技術(shù)專家仍在研究其對用戶可能造成的影響。互聯(lián)網(wǎng)用戶的敏感信息,如密碼、存儲文件、銀行信息和證件號碼等都可能被盜取。
接受媒體采訪的專家建議稱,普通用戶暫時不要急于更換密碼,要保持耐心,等待相關(guān)網(wǎng)站完成修補安全漏洞之后再更換密碼。因為如果網(wǎng)站還未修復(fù)漏洞,修改密碼的操作反而可能導(dǎo)致新密碼被竊。普通用戶應(yīng)當(dāng)關(guān)注自己的網(wǎng)站是否已經(jīng)修復(fù),一旦確認(rèn)漏洞被修復(fù),立即修改密碼。
目前還沒有消息表明此前有黑客利用該漏洞竊取過信息。作為互聯(lián)網(wǎng)的基礎(chǔ)安全協(xié)議,OpenSSL被廣泛運用,達(dá)到三分之二的網(wǎng)站都在使用該技術(shù)。
這場互聯(lián)網(wǎng)的“出血”危機(jī)顯然預(yù)示著終端用戶的信息安全有可能面臨“滅頂之災(zāi)”。
堵漏需從源頭開始 數(shù)據(jù)安全防護(hù)亦然
明白事物道理的人都清楚,治理漏洞必須從源頭做起,修復(fù)網(wǎng)絡(luò)的漏洞自然是最正確也是最正面的做法,但是面對這些威脅最終目標(biāo)的數(shù)據(jù)來說,本源防護(hù)也是必不可少的。而對于數(shù)據(jù)安全防護(hù)來說,加密防護(hù)就是這一切的源頭。
加密直接作用于數(shù)據(jù)本身,通過改變數(shù)據(jù)原本內(nèi)容的形式來達(dá)到安全防護(hù)的效果,而這種防護(hù)最大的特點就是即使數(shù)據(jù)和文檔最終還是泄漏了,加密的防護(hù)依然存在,只要算法不被破譯,數(shù)據(jù)仍舊是安全的。而隨著現(xiàn)代加密算法和技術(shù)的發(fā)展,破譯這件事也越來越變得“得不償失”了。同時,為了適應(yīng)現(xiàn)代多樣的加密需求和安全環(huán)境,采用國際先進(jìn)的多模加密技術(shù)則是其中最好的選擇。
多模加密技術(shù)采用對稱算法和非對稱算法相結(jié)合的技術(shù),在確保的加密質(zhì)量的同時,其多模的特性能讓用戶自主地選擇加密模式從而更靈活地應(yīng)對各種防護(hù)需求和安全環(huán)境。
追本溯源往往是解決問題最徹底也是明智的做法,對于網(wǎng)絡(luò)來說,即使修復(fù)漏洞或是最明智的做法,而對于現(xiàn)代信息安全危機(jī)來說,網(wǎng)絡(luò)危機(jī)或只是表現(xiàn),越來越豐富、變化的信息安全危機(jī)或是背后的真相。面對這種情勢,信息和數(shù)據(jù)的安全或許也應(yīng)該從源頭做起,而采用靈活且具有針對性的加密軟件進(jìn)行本源防護(hù)或是最聰明的做法!