|  首页  |  资讯  |  评测  |  活动  |  学院  |  访谈  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 资讯> 安全>

互联网安全大地震 谁能利用“心脏出血”漏洞?

2014-04-10 11:29 作者:www.guigu.org 来源:硅谷网 HV: 编辑: 【搜索试试

硅谷网讯 “这是近两年来最严重的一次网络安全危机。”360公司技术副总裁谭晓生评价,在以https开头的网站中,初步评估有不少于30%的网站中招,其中包括大家最常用的购物、网银、社交、门户等知名网站,而在手机APP的网银客户端中,则有至少50%存在风险。

据南京翰海源信息技术有限公司创始人方兴介绍,通俗来讲,通过这个漏洞,可以泄露以下四方面内容:一是私钥,所有https站点的加密内容全能破解;二是网站用户密码,用户资产如网银隐私数据被盗取;三是服务器配置和源码,服务器可以被攻破;四是服务器挂掉不能提供服务。

一位安全行业人士透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。

昨天下午,来自知道创宇ZoomEye网络空间搜索引擎的监控显示,国内有22611台主机受影响,而前天这个数字是33303,可以看到情况正在好转,超过30%的主机已经修复。

“漏洞被挖掘出来以后,带来的危害并不会非常快地显现。”瑞星安全专家唐威告诉记者,现阶段企业层面能做的也是对使用的OpenSSL进行排查和升级。

不过,昨天也有业内人士称,这个漏洞其实并没那么可怕,因为这是一个旧版本OpenSSL的安全漏洞,开发者把服务器程序升级到OpenSSL1.0.1g就可以解决。

□回应

银行银联支付不受影响

对于OpenSSL的漏洞,有传言称即便是银行网上支付、U盾、银联支付也都并不安全。不过,业内人士昨天向记者坦言,该漏洞对银行网上支付、银行U盾使用及银联的影响几乎为零。

中国金融认证中心应用开发部总经理林峰表示,OpenSSL的这个漏洞是由于代码实现不严谨造成的。这个漏洞存在于OpenSSL1.0.1系列版本中,之前的OpenSSL版本不受影响。天猫、淘宝使用的正是这个系列的版本,所以可以窃取到内存中的数据。

“如果银行使用了带有该漏洞的OpenSSL开源软件版本,会有一定的影响。但是这个漏洞只是窃取内存中的数据,银行的用户密码还有一重加密保护,一般不会在SSL服务器解密,所以也就很难拿到银行用户的密码。”

林峰还表示,其实这个OpenSSL的漏洞和U盾的安全性没有什么联系,因为用户的交易敏感信息是通过USB接口送入U盾后,在U盾内部进行加密和数字签名运算,SSL协议是对U盾加密签名后的数据再进行一次传输层的加密。这次OpenSSL的漏洞对U盾没有影响。

此外,中国银联相关负责人昨天也回应称,银联核心跨行交易系统运营基于专用网络,与漏洞事件无关。该负责人称,“银联在线支付”等基于互联网的创新业务系统并未使用OpenSSL技术,对于个别外围供应商可能存在的OpenSSL漏洞,银联已通过主动排查,在乌云网等技术人士公开漏洞事件前就已协调供应商消除了隐患,持卡人可以放心使用。

微软百度称未受影响

昨天,微软中国方面向记者回应称,没有任何微软产品受到此漏洞的影响。OpenSSL是开源用以实现SSL协议的产品,微软并没有在旗下产品和服务中使用此开源的解决方案。据悉,多数商业公司使用的SSL加密都是付费的,与本次暴露出漏洞的OpenSSL关系不大。

百度方面也表示,百度钱包不受影响。

电商当当网表示,当当网固有的账户体系非常安全,消费者可放心购物。

盛大方面表示,盛大通行证的认证主要是通过硬件加密等方式来使用https协议,目前已经和供应商确认过,一方面所使用的OpenSSL版本不是会受影响,另一方面针对有可能出现的安全隐患,已在第一时间通过升级进行了处理。

阿里京东回应已修复

昨天早上,此次漏洞事件引发最多泄密担忧的阿里系急忙表示漏洞已经修复。阿里安全回应称,关于OpenSSL某些版本存在基于基础协议的通用漏洞,阿里各网站已经在第一时间进行了修复处理,目前已经处理完毕,包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。其中淘宝方面还透露,从目前监控的情况来看,未发现账户异常。

京东则表示,已于昨天完成了修补处理,避免了这次漏洞的侵袭。

腾讯昨天早上也发声明称,腾讯已在第一时间进行处理,目前相关的产品业务如邮箱、财付通、QQ、微信等都已经修复完毕。

网易邮箱方面告诉记者,乌云报告提到的网易邮箱OpenSSL漏洞,经过网易邮箱查证,所列域名都是指向了CDN(内容分发网络)服务,收到报告后网易邮箱第一时间反馈给CDN服务商,当晚已经修复。

此外,全球互联网巨头雅虎、谷歌和Facebook也纷纷表示已修复漏洞。谷歌表示:“我们已经评估了SSL漏洞,并且给谷歌的关键服务打上了补丁。”

谁能利用“心脏出血”漏洞?

“对于了解这项漏洞的人,要对其加以利用并不困难。”普林斯顿大学计算机科学家菲尔腾说。利用这项漏洞的软件在网上有很多,虽然这些软件并不像iPad应用那么容易使用,但任何拥有基本编程技能的人都能学会它的使用方法。

当然,这项漏洞对情报机构的价值或许最大,他们拥有足够的基础设施来对用户流量展开大规模拦截。

□消费者应对

网站修复漏洞后用户需修改密码

360公司技术副总裁谭晓生建议,在4月7日和8日两天登录过存在漏洞的网站的网友,首先需要确认曾经登录的网站是否已经进行了升级修复,可看该网站是否发布相关的公告,也可通过360网站卫士推出的OpenSSL漏洞在线检查工具,输入网址检测网站是否存在该漏洞。如果相关网站已完成了修复,则用户需要将使用过的用户名、密码等个人信息进行修改;如果登录过的网站仍然未能完成修复,“那很遗憾,用户只有坐等对方修复。”

金山毒霸安全专家李铁军表示,对重要服务,要尽可能开通手机验证或动态密码,比如支付宝、邮箱等。

“针对OpenSSL漏洞,黑客的攻击方式是不断发动数据包攻击,每次攻击能够从服务器内存上得到大小为64K的数据,不过获得的数据是零散无序的,黑客想要获得真正有用的信息,需要把累计获得的数据进行整理分析,这需要一个时间过程,因此,在这两天内及时完成密码修改,就不会有太大的问题。”谭晓生提醒说,不过,即便网站完成修复,也并不意味着天下太平了,未来是否有新的危险还不得而知。

此外,在网站漏洞修复前,不要网购或网上支付,以免受到损失。一个密码的使用时间不宜过长,超过3个月就该换掉了。

【对“互联网安全大地震 谁能利用“心脏出血”漏洞?”发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
·F5 2020年应用服务状况报告:亚太地区企业关注网
·英特尔芯片新安全漏洞能够导致设备加密功能失效
·Let's Encrypt吊销300多万张证书,您部署的HTTPS
·没有了黑莓,远程办公用信源豆豆为你的网络安全
·博通Wi-Fi芯片存在安全漏洞 数十亿部iPhone遭窃
·智能手机存安全风险 华为手机恐成“静默拉活”受
·RSAC2020正式开幕,信源豆豆用科技保护“安全”
·网络安全问题频发?推荐使用快快网络高防服务器
头条
微博数据疑似大规模泄露,用户手机号等信息外流 微博数据疑似大规模泄露,用户手机号等信息外
3月19日上午,有微博名为安全_云舒的用户转发微博时称:很多人的手机号码泄露了,根据……
·微博数据疑似大规模泄露,用户手机号等信息外
·博通Wi-Fi芯片存在安全漏洞 数十亿部iPhone遭
·三星手机推送奇怪1通知 该通知源于三星数据泄
·中国计算机病毒应急处理中心监测发现24款违法
· AI入法 首个“AI面试法案”在美国伊利诺斯州
图文
华为智能安防的“神兽”来了 请重新认识智能安防
华为智能安防的“神兽”来了 请重新认识智
发现“好望”角:安防分销迎来“小精智”时代
发现“好望”角:安防分销迎来“小精智”时
区块链骗局都有哪些?区块链下有人暴富有人破产!
区块链骗局都有哪些?区块链下有人暴富有人
2019年网络安全生态峰会举行 智慧共享互信共治
2019年网络安全生态峰会举行 智慧共享互信
最新
·华为智能安防的“神兽”来了 请重新认识智能安防
·发现“好望”角:安防分销迎来“小精智”时代
·微博数据疑似大规模泄露,用户手机号等信息外流
·报告称美国超过八成联网医疗成像设备易受黑客攻击
·Sensor Tower推出20余款App秘密收集数百万用户数
热点
·全国多所高校电脑遭病毒绑架 需要关闭445端口
·区块链骗局都有哪些?区块链下有人暴富有人破
·2019年网络安全生态峰会举行 智慧共享互信共
·苏宁京东接连中招,双十一在即这个套路要小心
·没了乌云谁还敢随便使用那些不安全的网络平台
旧闻
·智能手机信息安全隐患 百度知道为网友支招
·从共享单车被“黑” 看一直被忽视的APP安全
·租车有风险如何能避免 cocar打造安全共享租车
·30余省市社保系统有漏洞 网络安全如何攻防?
·腾讯安全半年报揭秘区块链“三大安全威胁”
广告
硅谷影像
华为智能安防的“神兽”来了 请重新认识智能安防
华为智能安防的“神兽”来了 请重新认识智能安防
发现“好望”角:安防分销迎来“小精智”时代
发现“好望”角:安防分销迎来“小精智”时代
微博数据疑似大规模泄露,用户手机号等信息外流
微博数据疑似大规模泄露,用户手机号等信息外流
Sensor Tower推出20余款App秘密收集数百万用户数据
Sensor Tower推出20余款App秘密收集数百万用户数
DDoS攻击离你有多近?华为未然来揭秘!
DDoS攻击离你有多近?华为未然来揭秘!
英特尔芯片新安全漏洞能够导致设备加密功能失效
英特尔芯片新安全漏洞能够导致设备加密功能失效
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2020 硅谷网. 版权所有. All Rights Reserved. <京ICP备12003855号-2>