|  首页  |  资讯  |  评测  |  活动  |  学院  |  访谈  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 资讯> 安全>

安全漏洞很难都修复 已泄露用户信息后遗症还会持续

2014-04-16 15:23 作者:www.guigu.org 来源:硅谷网 HV: 编辑: 【搜索试试

硅谷网讯 本月初,全球各大主流媒体陆续曝出了关于互联网有史以来最大的安全漏洞——“心脏流血”(Heartbleed直译),一时间,各大主流网络公司的系统管理员们纷纷开始为自己的系统打补丁。这一安全漏洞很可能会被黑客们所利用,从而破解加密信息,窃取到用户的个人数据。

但是对于很多非主流的小型网络公司而言,面对“心脏流血”,他们可能并不会采取任何应对措施或者消极应对。换句话说,“心脏流血”将会持续威胁互联网安全很多年,它的余毒或许将会永远残留下去。

“Heartbleed”漏洞是由谷歌(微博)和一家在线安全公司Codenomicon的研究人员发现,它是OpenSLL开源网络数据加密工具中包含的大约10行简单的代码,它将会影响到OpenSSL这一关键网络加密技术。实际上,这个安全漏洞已经存在两年多了,而且没有留下任何可疑的迹象,黑客们利用它轻易获取用户的加密信息。

具体来讲,如果某个网站采用的是OpenSLL加密技术,黑客便可以利用“Heartbleed”运行这个软件的服务器来获取敏感信息。而且,黑客不仅可以从网站上窃取用户的个人信息,而且还可以伪造出该相应的冒牌网站,从而从一个服务器上“钓”取用户的用户名、密码、信用卡详细资料等大量信息。

更糟的是,当黑客利用“Heartbleed”安全漏洞进行攻击时,这种不法行为是很难被察觉的。换句话说,目前还没有一种有效的方法可以判断出某网站是否已经被“Heartbleed”入侵。这也是为什么各大网站会尽快升级他们的OpenSSL版本,防患于未然。

尽管如此,由于目前有超过三分之二的网站采用OpenSSL加密协议,这些具有潜在风险的网站中有很多都是小型网站,它们没有能力保证第一时间修复漏洞,有些甚至会选择睁一只眼闭一只眼。

在线隐私保护公司Abine的首席技术官安德鲁·萨德伯里(Andrew Sudbury)对此表示:“全球各个角落的机房里放着不计其数的服务器,很难保证每一台都会打上预防Heartbleed安全漏洞的补丁”。

给存在安全隐患的网站“打预防针”并不难——系统管理员只需要升级相应的软件包,重启系统,然后更换OpenSSL的密钥和安全证书。“这并不是很复杂,只是需要花点时间而已”,安德鲁如是说。

上世纪90年代,黑客们曾利用一种所谓的“PHF exploit”漏洞来攻击网络服务器。但是当这个漏洞被发现并修复之后,每年通过该漏洞进行攻击的事件还是层出不穷。

此外,安德鲁还表示,历史经验告诉我们,近年来一些主要的网络安全漏洞被发现并修复之后,黑客们依然会持续不断的利用这些漏洞进行网络攻击。“Heartbleed”也不会例外,黑客们往往无孔不入。

即便是用户在某一个网站上信息被盗,而且这个网站并不包含信用卡、用户名信息等敏感信息,但是这一单个的薄弱环节也容易引起严重的破坏,特别是那些喜欢用同一个密码进行各种网络操作的用户而言更是如此。

讽刺的是,一些对“Heartbleed”安全漏洞并不是很在意的网站实际上并没有受到攻击,而“Heartbleed”早在2012年3月份就出现了。

虽说“Heartbleed”的攻击模式很难被察觉,但是这并不意味着用户就只能坐以待毙。用户可以通过某些工具检测自己的网站是否需要升级OpenSSL版本,而且有些像Chrome以及火狐等第三方浏览器提供的扩展功能还可以进行随机自检,以避免被攻击。

【对“安全漏洞很难都修复 已泄露用户信息后遗症还会持续”发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
·英特尔芯片新安全漏洞能够导致设备加密功能失效
·博通Wi-Fi芯片存在安全漏洞 数十亿部iPhone遭窃
·摄像头被曝存安全漏洞 谷歌禁用小米集成功能
·英特尔再爆安全漏洞:可拖慢部分芯片速度
·屋漏偏逢连夜雨 FB子公司被爆存在安全漏洞
·Win10月度更新遇兼容性BUG 腾讯电脑管家助修复
·谷歌刻意隐瞒Google+安全漏洞,或替代FB成关注点
·“永恒之蓝”成为被利用程度最高安全漏洞之一
头条
微博数据疑似大规模泄露,用户手机号等信息外流 微博数据疑似大规模泄露,用户手机号等信息外
3月19日上午,有微博名为安全_云舒的用户转发微博时称:很多人的手机号码泄露了,根据……
·微博数据疑似大规模泄露,用户手机号等信息外
·博通Wi-Fi芯片存在安全漏洞 数十亿部iPhone遭
·三星手机推送奇怪1通知 该通知源于三星数据泄
·中国计算机病毒应急处理中心监测发现24款违法
· AI入法 首个“AI面试法案”在美国伊利诺斯州
图文
华为智能安防的“神兽”来了 请重新认识智能安防
华为智能安防的“神兽”来了 请重新认识智
发现“好望”角:安防分销迎来“小精智”时代
发现“好望”角:安防分销迎来“小精智”时
区块链骗局都有哪些?区块链下有人暴富有人破产!
区块链骗局都有哪些?区块链下有人暴富有人
2019年网络安全生态峰会举行 智慧共享互信共治
2019年网络安全生态峰会举行 智慧共享互信
最新
·华为智能安防的“神兽”来了 请重新认识智能安防
·发现“好望”角:安防分销迎来“小精智”时代
·微博数据疑似大规模泄露,用户手机号等信息外流
·报告称美国超过八成联网医疗成像设备易受黑客攻击
·Sensor Tower推出20余款App秘密收集数百万用户数
热点
·全国多所高校电脑遭病毒绑架 需要关闭445端口
·区块链骗局都有哪些?区块链下有人暴富有人破
·2019年网络安全生态峰会举行 智慧共享互信共
·苏宁京东接连中招,双十一在即这个套路要小心
·没了乌云谁还敢随便使用那些不安全的网络平台
旧闻
·30余省市社保系统有漏洞 网络安全如何攻防?
·从共享单车被“黑” 看一直被忽视的APP安全
·腾讯安全半年报揭秘区块链“三大安全威胁”
·智能手机信息安全隐患 百度知道为网友支招
·租车有风险如何能避免 cocar打造安全共享租车
广告
硅谷影像
华为智能安防的“神兽”来了 请重新认识智能安防
华为智能安防的“神兽”来了 请重新认识智能安防
发现“好望”角:安防分销迎来“小精智”时代
发现“好望”角:安防分销迎来“小精智”时代
微博数据疑似大规模泄露,用户手机号等信息外流
微博数据疑似大规模泄露,用户手机号等信息外流
Sensor Tower推出20余款App秘密收集数百万用户数据
Sensor Tower推出20余款App秘密收集数百万用户数
DDoS攻击离你有多近?华为未然来揭秘!
DDoS攻击离你有多近?华为未然来揭秘!
英特尔芯片新安全漏洞能够导致设备加密功能失效
英特尔芯片新安全漏洞能够导致设备加密功能失效
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2020 硅谷网. 版权所有. All Rights Reserved. <京ICP备12003855号-2>