前晚,北京知道创宇公司的钟晨鸣守在电脑屏幕前彻夜未眠。作为一家安全企业研究部总监,他一直在关注为互联网服务器体检的结果。网络安全分析系统扫描显示,中国境内160余万台服务器中,有33303台受到一个巨大漏洞影响!可怕的是,这三万多台服务器分布在网银系统、第三方支付、大型电商网站、即时通讯系统和邮箱这些最重要的网络服务器中。 另一位叫朱欣愚的安全专家,前晚也没有睡觉。他在知乎上透露,在某著名电商网站上,他仅读取200次就获得40多个用户名和7个密码。 创宇是“邪红色信息安全组织”的成员。前晚,这个组织几乎全员不眠。他们测试发现,淘宝、微信、12306购票,还有多个网银都出现问题。 这些场景,只是一场网络地震的一个角落。还有无数专家、黑客和网络公司的维护人员,都无法入睡。而造成这一切的,是一个被命名为“heartbleed”的巨大安全漏洞,这个名字很形象,翻译过来就是—心脏出血。 可是,对于这一切,多数网民却懵然不知。即使看到新闻,也多半只能对着满屏术语茫然无措。因为,在国外网站迅速向用户公告漏洞存在,到修复漏洞,再到提醒更改密码这个过程中,国内尚未发现哪个网站主动公告真相,仿佛一切尽在掌握。 “心脏出血”的威胁有多大? 抛开术语 让我们来谈点实在的 “心脏出血”漏洞,是由安全公司Codenomicon和谷歌安全工程师发现的。 这个漏洞堪称网络核弹,因为它出现在本来用于保护账户安全的系统中。利用该漏洞,黑客可以实时获取到很多以HTTPS开头网址的用户登录账号密码。包括大批网银、知名购物网站、电子邮件等。对于这个新华社形容为“地震级”灾害的漏洞,多家安全厂商表示发布紧急预警,提醒各大互联网服务商尽快修复该漏洞。 昨日,这个新闻让不少网友心惊肉跳,但也有不少人不以为然。那么,事实究竟如何? “心脏出血”是一个OpenSSL漏洞。OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,在网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户在该网站输入账号密码时就可能被黑客实时监控到。 换句话说,你在银行卡内的资金、第三方支付和电商网站里的余额、积分等财产,都受到了威胁。而且黑客还可以利用该漏洞冒充服务器,诱使用户泄露他们的信息。 所以,网上的传言并非危言耸听。 我们能怎么防范? 首先等待 然后改密码 “心脏出血”利用的是服务器漏洞,能得到的也是服务器缓存中的用户名和密码。如果你在网站修复漏洞前登录,就可能被黑客监控到你的账户。利用该漏洞并不难。普林斯顿大学计算机科学家艾德·费尔腾透露,利用该漏洞的软件遍布于网络,任何有编程基础的人都知道怎么使用。 费尔腾表示,针对“心脏出血”最有效的防范方法,就是在网站宣布修复漏洞前,不要登录(可浏览,但不要输账户密码)。如果近日已经登录过重要网站,最好在漏洞修复后更改密码。 另外有国内安全人士表示,如果近日确实需要进行网络支付,最好启用银行U盾,支付宝支付盾、手机检验码一类安全服务。并在漏洞修复后更改密码。 之所以要改密码,是因为你的账户名和密码、电话号码、身分证号码、银行账号都可能已经泄露。即使有其他安全措施,也同样有不小几率被黑客有针对的攻陷。 需要注意的是,不仅使用电脑登录可能泄露信息,使用手机、平板电脑等登录同样可能“中招”。 哪些网站已被发现有漏洞? 昨天,钟晨鸣公布了一张“心脏已经出血”的部分网站名单,苏宁、盛大、网易、搜狗、唯品会、比特币中国、微信、豌豆荚等都在其中。 “邪红色信息安全组织”也公布了一些被发现漏洞的服务器。 包括:淘宝、微信、雅虎、YY语音、陌陌、12306新版订票系统,以及多个网银、社交网站和即时通讯平台。 哪些网站已经修复 由于“心脏出血”漏洞只存在于部分OpenSSL版本中,不是所有网站都有危险。不过据“邪红色”表示,他们发现漏洞影响的HTTPS服务,比例达到30%~50%。此外,目前淘宝、腾讯、网易已修复了漏洞。 云安全平台百度加速乐昨天对媒体表示,他们已进行升级,目前所有使用百度加速乐服务的SSL站点不受影响。我们查询百度加速乐网站发现,使用其服务的常用网站,有智联招聘、穷游网、五游网、国家公务员网等。 此外,支付宝也对媒体表示,他们使用的版本是没有漏洞的。 编后 主页君,请告诉我们要不要改密码 昨天,钟晨鸣表示,他已将三万多台“带病”服务器的名单,提交给国家互联网应急中心,由后者进行全国预警。但到昨天22点为止,我们没有在国家互联网应急中心网站看到相关公告。该中心一名专家坦陈,中心2003年起就试图建立漏洞触发的相关应急工作和能力,但到现在也不够清晰。 我们也登录了腾讯、淘宝、苏宁、微信、12306、网易、盛大等被指有漏洞的网站,也没有看到任何相关提醒、公告、说明。 与之相对的,是国外企业的做法。 微软发言人在漏洞发布当天就宣称,正在跟进问题报告,“确定它对我们的设备与服务造成的影响,我们会采取必要的措施来保护我们的用户。” 雅虎发言人也在昨天公布,已经在雅虎的各个主要网站成功完成修复漏洞,正在针对公司旗下其他网站实施修复。 著名云平台厂家Heroku则在当天修复漏洞后,马上提醒用户更改密码。 “心脏出血”虽然可怕,但这个漏洞检查起来非常快,修复难度也不高。但却没人愿意简单地用一句话告诉我们,是否有必要更改密码。回想起此前暴发过的服务器漏洞,同样每一次都让我们处于懵然无知的状态。 比“心脏出血”更可怕的是,我们不知道这种状态还要持续多久。
|