4月8日,網(wǎng)絡(luò)安全協(xié)議OpenSSL被曝發(fā)現(xiàn)嚴(yán)重安全漏洞,諸多公眾熟知的電商、支付類接口、社交�����、門戶網(wǎng)站瞬間處于“裸奔”狀態(tài),大量網(wǎng)民信息面臨泄密風(fēng)險(xiǎn)���;ヂ(lián)網(wǎng)“心臟出血”還將持續(xù)多久?危害究竟多大?普通用戶在此時(shí)此刻應(yīng)當(dāng)做些什么?新華社記者就此進(jìn)行了調(diào)查��。
“地震級(jí)”網(wǎng)絡(luò)災(zāi)難降臨 “心臟出血”搶修進(jìn)行中
4月8日,在微軟XP操作系統(tǒng)正式停服同一天,互聯(lián)網(wǎng)筑墻被劃出一道致命的裂口——常用于電商�、支付類接口等安全性極高網(wǎng)站的網(wǎng)絡(luò)安全協(xié)議OpenSSL被曝存在高危漏洞,眾多使用https的網(wǎng)站均可能受到影響����。
一些人對(duì)漏洞嚴(yán)重性還在盲目樂觀時(shí),業(yè)界知名“白帽子”��、北京知道創(chuàng)宇信息技術(shù)有限公司研究部總監(jiān)余弦指出,此漏洞一旦被惡意利用,用戶登錄這些電商、支付類接口的賬戶�����、密碼等關(guān)鍵信息都將面臨泄露風(fēng)險(xiǎn)��。包括公眾熟知并且經(jīng)常訪問的微信����、淘寶、一些支付類接口�、社交、門戶等知名網(wǎng)站均受到影響,而且越是知名高的網(wǎng)站,越容易受到不法分子的攻擊��。
在余弦的電腦屏幕上,網(wǎng)絡(luò)安全分析系統(tǒng)掃描顯示,在中國(guó)境內(nèi)的160余萬臺(tái)服務(wù)器中,有33303臺(tái)受到這一漏洞影響�。蘇寧、盛大�����、網(wǎng)易�、搜狗、唯品會(huì)��、比特幣中國(guó)、微信�、豌豆莢……一個(gè)個(gè)網(wǎng)民常用的甚至依賴的網(wǎng)站紛紛“躺槍”。
余弦告訴記者,這3萬多臺(tái)服務(wù)器分布在支付類接口系統(tǒng)����、大型電商網(wǎng)站、即時(shí)通訊系統(tǒng)和郵箱等這些最重要的網(wǎng)絡(luò)服務(wù)器中�。
8日晚,余弦和他的團(tuán)隊(duì)守在電腦屏幕前徹夜未眠,安全保衛(wèi)者們敲擊鍵盤的噼啪聲一夜未斷。不僅余弦,360���、京東����、微信�、支付寶等公司的技術(shù)團(tuán)隊(duì)也徹夜奮戰(zhàn),和黑客們開展起了一場(chǎng)“你盜我堵”的賽跑,在黑客竊取更多用戶數(shù)據(jù)前趕緊予以修復(fù)。
“狼來了”:數(shù)據(jù)已發(fā)生泄露
南京翰海源信息技術(shù)有限公司創(chuàng)始人方興指出:此漏洞事實(shí)上非常簡(jiǎn)單,并不是因?yàn)樗惴ū还テ?而是由于程序員在設(shè)計(jì)時(shí)沒有做長(zhǎng)度檢查而產(chǎn)生的內(nèi)在泄露漏洞�。
“新生程序員時(shí)常會(huì)犯這樣的錯(cuò)誤。”知道創(chuàng)宇首席執(zhí)行官楊冀龍如此看待這一問題�����。
“打個(gè)形象的比喻,就像家里的門很堅(jiān)固也鎖好了,但是發(fā)現(xiàn)窗戶虛掩著����。”中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專業(yè)委員會(huì)主任嚴(yán)明說,這個(gè)漏洞是地震級(jí)別的�����。
知道創(chuàng)宇公司持續(xù)在線監(jiān)測(cè)情況顯示,雖然大部分公司已有所行動(dòng),但仍有部分涉及機(jī)構(gòu)動(dòng)作遲緩。截至9日晚,知道創(chuàng)宇公司通過監(jiān)測(cè)ZoomEye實(shí)時(shí)掃描數(shù)據(jù)分析發(fā)現(xiàn),國(guó)內(nèi)12306鐵路客戶服務(wù)中心���、微信公眾號(hào)�����、支付寶�����、淘寶網(wǎng)����、360應(yīng)用����、陌陌、雅虎����、QQ郵箱、微信網(wǎng)頁(yè)版、比特幣中國(guó)��、雅虎�����、知乎等網(wǎng)站的漏洞已經(jīng)修復(fù)完畢�����。但還有一些網(wǎng)站沒有完成修復(fù)���。
余弦告訴記者,該漏洞并不一定導(dǎo)致用戶數(shù)據(jù)泄露,因?yàn)樵撀┒粗荒軓膬?nèi)存中讀取64K的數(shù)據(jù),而重要信息正好落在這個(gè)可讀取的64K中的幾率并不大,但是攻擊者可以不斷批量地去獲取這最新的64K記錄,這樣就很大程度上可以得到盡可能多的用戶隱私信息�����。
|
