讯:近日互联网曝出的一项漏洞,让一些安全专家和黑客难眠。其原因在于一个被黑客社区命名为“心脏出血”的漏洞,利用该漏洞,黑客可以实时获取用户登录账号和密码。黑客随时进入网站更新我们的账号和密码,以后还有什么安全度可言的。对于此,又多少网站是裸奔的呢?
不过也有人认为安全公司是夸大其词,某国外安全公司中国区技术总监陈胜利认为,“心脏出血”的确是一个漏洞,这个漏洞也比较常规,但两年中一直并没有爆发,真正有能力利用这个漏洞发动攻击的也只是很小一部分黑客。
360公司副总裁、首席隐私官谭晓生认为,存在黑客攻击获得用户数据后过一段时间再牟利的可能性。但也不排除有些安全公司并没有做实际工作而借机炒作。而中招的互联网公司和用户小心谨慎、宁可信其有不可信其无的心态还是值得赞许的。“出血”搅动互联网“心脏”所谓“心脏出血”,指的是openssl源代码出现的一个漏洞。这一漏洞的存在,可以让攻击者获得服务器上64k内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。
谭晓生称,openssl是互联网上应用最广泛的安全传输办法,“它是互联网上销量最大的门锁”,各大网银、在线支付、电商网站和门户网站都在使用,一旦这个门锁出现问题,几乎所有的重要的网站都会“裸奔”。安全公司codenomicon和谷歌安全工程师发现了openssl源代码的这个漏洞,并提交给相关管理机构,随后官方很快发布了漏洞的修复方案。openssl大约两年前就已经存在这一缺陷。
ssl是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。当用户访问网络银行等安全网站时,就会在url地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过ssl加密的数据只有接收者才能解密。如果不法分子监听了用户的对话,也只能看到一串随机字符串,而无法了解电子邮件、facebook帖子、信用卡账号或其他隐私信息的具体内容。
openssl是基于ssl的一个开源免费软件,由于免费和易用,风靡互联网,很多网站都在使用这一技术。很多隐私信息都储存在服务器的内存中,攻击者通过模式匹配信息进行分类整理后,可以找出密码以及信用卡号等个人信息。大量中国网站中枪
安全网站zoomeye扫描了整个世界的服务器,做了一次整体的“体检”。中国有33303台服务器存在漏洞,美国则有24万台服务器可能有问题,12306铁路客户服务中心、微信公众号、支付宝和淘宝等都受到影响,但均已修复。
阿里小微金融服务集团首席风险官、阿里巴巴集团副总裁胡晓明告诉中国青年报记者:“openssl是昨天爆发的,我们已经完全修复了在openssl出现漏洞以后安全信息的泄露问题。我们除了openssl加密机制以外,还有自己的加密机制,来确保客户账号的安全。”
谭晓生认为,openssl软件有纰漏,并不代表ssl全球的安全协议标准出现漏洞。也不应该对开源软件和安全协议标准产生怀疑和不信任。没有绝对安全的加密算法,开源其实意味着接受所有人的审查,所以出现漏洞几率相当少。“越是遇到类似今日的情况越要为开源社区提供鼓励和帮助,现在的一分帮助能为你换来下一个十年乃至二十年的安全网络。”有安全专家呼吁。
来源:中国著名品牌网
以上是网络信息转载,信息真实性自行斟酌。