近日,互聯網基礎組件OpenSSL爆出嚴重安全漏洞,這一被命名為“心臟出血”的漏洞,讓攻擊的黑客、維護網絡安全的“白帽子”、修復升級系統版本的互聯網公司等紛紛聞“血”而動,網民則在毫不知情的情況下訪問著已處于“裸奔”狀態的站點。據統計,僅7日、8日期間,就有共計約2億網友訪問了存在OpenSSL漏洞的網站。“心臟出血”是什么樣的漏洞?為什么會被稱為“近年來最嚴重的安全漏洞”?互聯網時代,網民如何盡量自保安全?
門鎖成廢鎖,“心臟出血”讓互聯網現傷口
在互聯網的世界里,“漏洞”從來都不是一個低曝光率的詞,這一次,爆出漏洞的是互聯網基礎組件OpenSSL。
OpenSSL是什么?“SSL是為網絡通信提供安全及數據完整性的一種安全協議,也是一種流行的加密技術,可以保護用戶通過互聯網傳輸的隱私信息。”360安全專家安揚告訴記者,“OpenSSL是基于SSL的開源免費軟件,由于免費和易用,是目前互聯網上應用最廣泛的安全傳輸方法。”形象地說,OpenSSL可以看作互聯網上銷量最大的“門鎖”,此次爆出的漏洞,讓特定版本的OpenSSL成為無需“鑰匙”即可開啟的“廢鎖”。這個漏洞被命名為“心臟出血”。
“心臟出血”是如何影響互聯網安全的呢?有專家表示,“心臟出血”是OpenSSL源代碼出現的一個漏洞,這個漏洞的本質是內存泄漏。這一漏洞的存在,可以讓攻擊者獲得服務器返回的64KB的內存數據。這部分數據中,可能存有安全證書、用戶名與密碼、電子郵件以及重要的商業文檔等數據。雖然攻擊者每次只能翻檢64KB大小的信息,但只要他有足夠的耐心和時間,就能找出足夠多的數據以拼湊完整的數據信息。
在國家信息安全漏洞共享平臺(CNVD)上,該漏洞的綜合評級為“高危”。由CNVD組織完成的多個測試實例表明,根據對應OpenSSL服務器承載業務類型,攻擊者一般可獲得用戶實時連接的用戶賬號密碼、會話Cookies等敏感信息,進一步可直接取得相關用戶權限,竊取私密數據或執行非授權操作。一位安全行業人士親自驗證后透露,他在某著名電商網站用“心臟出血”漏洞嘗試讀取數據,在讀取200次后,獲得了40多個用戶名、7個密碼,用這些密碼,他成功登錄了該網站。
360安全專家石曉虹表示,此次OpenSSL漏洞堪稱“網絡核彈”,很多隱私信息都存儲在網站服務器的內存中,無論用戶電腦多么安全,只要網站使用了存在漏洞的OpenSSL版本,用戶登錄該網站時就可能被黑客實時監控到登錄賬號和密碼。
安揚表示,OpenSSL漏洞風險極高,不僅普通網民受到影響,而且很多核心機構和各大公司集團也正在遭遇一場信息安全危機。
然而,盡管多數人認為此次漏洞危害嚴重,但也有不同的聲音傳來。在廣東井田云科技有限公司首席架構設計師何漸興看來,“心臟出血”漏洞有被夸大的嫌疑,網民不必過分擔心。但他同時也表示,網絡安全無小事,各網站運營商應第一時間堵上漏洞。
安全危機或持續蔓延,網民如何自保?
據統計,僅7日、8日,就有共計約2億網友訪問了存在OpenSSL漏洞的網站,但其中有多少人被盜取信息仍是未知數。事實上,該款缺陷軟件自2012年3月推出至今已兩年有余,黑客是否已利用漏洞獲取用戶資料尚無從得知。根據權威網絡空間搜索引擎Zoomeye系統掃描,我國全境至少有33303臺服務器受此次漏洞影響,覆蓋從消費到通訊、社交等眾多國內知名網站。
許多“中招”網站發現漏洞后也紛紛采取緊急措施,據360公司4月11日發布的監測數據顯示,71.9%的網站已修復該漏洞。
盡管修復工作仍在持續進行,但“心臟出血”的影響或許并不會就此結束。安全專家提醒,雖然登錄重要網站被黑客直接抓取密碼的風險目前來看已經不大,但對電腦軟件、手機APP、VPN、郵件系統、網絡設備等其他受影響的互聯網產品和服務來說,此次漏洞造成的內傷很難短期內完全恢復。畢竟,抓密碼只是表面危害,對于黑客高手來說,利用此漏洞對核心機構和各大企業實施入侵滲透才是最大的威脅,甚至影響國家信息安全。
而對普通網民來說,從該漏洞曝光到網站修復漏洞的這段時間內,已有黑客利用“心臟出血”漏洞進行攻擊,有些網站用戶信息或許已被黑客獲取。安揚認為,接下來,不法黑客可能會利用其獲取到的信息,進行欺詐等攻擊。因此,隨后較長的一段時間內,網民應格外注意賬號安全,并謹防各種盜用身份的詐騙信息。
網民該如何在這樣一場還在持續流淌的“心臟出血”影響中自保?石曉虹建議,用戶在確認相關網站升級修復前,盡量避免登入賬號,更不要登錄網銀及其他支付類的接口賬戶;對于一些已完成修復升級的網站,用戶則應當盡快登錄網站更改密碼等重要信息。
事實上,拋開這次的“心臟漏洞”,互聯網的安全風險是長期存在的,網民應建立良好的安全習慣。對此,安揚建議網民,重要賬號單獨設置高強度的密碼,并定期修改密碼;網頁瀏覽完刪除cookies,以清除儲存在用戶本地終端上的數據;不隨意點擊陌生人發布的鏈接,不接受運行來歷不明的文件;電腦和手機開啟安全軟件保護,及時修復漏洞。
京公網安備 11010502049343號