|
 
|
互联网突爆“心血”漏洞 漏洞存在多年 黑客或早已下手
综合外电9日报道:从美国亚马逊、雅虎,到中国淘宝、微信,全球众多互联网公司周二紧急应对最新发现的互联网漏洞“心血”(Heartbleed)。安全专家们说,“心血”可能是互联网安全史上最致命一击:利用该漏洞,黑客可实时获取很多https开头网址的用户登录帐号密码,涉及购物、网银、微博微信、邮箱等知名网站。目前已有业内人士表示,利用这一漏洞获得了雅虎用户的密码。
看到某个网站网址用了https开头,就是採用了SSL安全协议。而OpenSSL,则是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其他目的使用。换言之,OpenSSL是互联网上销量最大的锁,是旨在保证互联网通讯安全的一种加密协议。而在周一,这把锁出现了“核弹级”的漏洞“心血”。
5分钟破200用户密码
“心血”影响了互联网的许多方面,因为全球两大网络服务器Apache和nginx都使用OpenSSL。这两种服务器约佔全球网站总数的三分之二。据中国ZoomEye网站统计,全中国有33303个受本次OpenSSL漏洞影响。
安全专家们称,“心血”漏洞实际上让黑客能够获得服务器的密钥,而该密钥用于加密通过互联网传递的信息。黑客也可能会潜入服务器内存,一次盗走64千字节(byte)的数据包。只要有足够的耐心,黑客就可以获取足够多的数据,拼凑出访问网站用户的用户名及密码等。
在漏洞公开后,信息安全公司Fox-IT的普林斯就通过Twitter表示:“我们已通过‘心血’漏洞获得了雅虎的一个用户名和密码。”而另一名开发者加洛维表示:“运行‘心血’脚本5分钟时间,就获得了雅虎电子邮箱的200个用户名和密码。”
内地多家大网站中招
在中国,雅虎门户主页、微信公众号、微信网页版、YY 语言、淘宝、网银,陌陌等热门网站均“中招”,只能升级软件修补漏洞。
星期二,亚马逊、雅虎、Tumblr和密码管理公司LastPass等企业都表示在给OpenSSL软件打上最近发布的补丁。美国联邦调查局(FBI)称其採用了内容分发网络服务,并表示其伙伴已经给产品打上了补丁。微软的发言人说:微软正密切关注有关OpenSSL安全漏洞的报道,如果他们认定此事给设备和服务带来了影响,他们将採取必要措施保护客户。谷歌的发言人说,该公司已对SSL的弱点进行了评估,并对关键服务发布了补丁程序。
少登陆https开头网站
不过安全问题研究人员认为,仅仅对OpenSSL软件打补丁并不能奏效。Venafi公司的赫德森说,人们尚未认识到,除非更改所有密钥和证书,否则仍然很容易受到攻击。
对于不幸访问了受影响网站的普通网民,专家建议,在未来一两天内,尽量少登陆以https开头的网站,并尽可能少用内地网银服务,避免自己的帐号密码被黑客窃取。如果在近期登陆过,就考虑更换密码,以策安全。与此同时,密切关注个人财务报告,因为黑客有可能获取服务器内存取的信用卡信息,所以要关注银行月结单中的异常扣款。
============================
据美国《华尔街日报》9日报道:号称“核弹级”的网络安全漏洞“心血”其实在2011年开源代码升级时就存在了,但是直到最近才被发现。这说明,黑客有可能已经窃取了部分资料。託管公司Bytemark的董事总经理马修.布洛赫说:“由于这个漏洞已经存在了2年之久,我们目前很难确定数据流失是否已有发生。”
密码管理器公司LastPass首席执行长西格里斯特表示,他的公司重启了服务器,升级了OpenSSL软件,并推出了新的证书。他说,有关该漏洞的可怕之处是,尚不清楚各家公司有哪些信息或已被窃,也不知道该漏洞被发现之前被利用了多长时间。
他表示,所有事情都可能发生,实际发生了多少还远不太清楚。他说,由于该漏洞已经存在了很长时间,如果坏人知道并加以利用了几年时间,事情将真的非常糟糕;如果在该漏洞被发现之前没有多少人知道,则普通用户不会有太大风险。他说,这是一个很难回答的重要问题。
这是本年度网络加密链接方面发现了的第3个重大失误。今年2月,苹果的系统曾出现了一个简单的运行错误,自从2013年9月开始,iPhone、iPad以及使用新版本Mac OS X软件的苹果电脑在链接网络的时候均存在安全隐患。 |
|
新浪微博
QQ空间
人人网
腾讯微博
Facebook
Google+
Plurk
Twitter
Line
