大公網(wǎng)4月10日訊
綜合外電9日?qǐng)?bào)道:從美國(guó)亞馬遜����、雅虎�,到中國(guó)淘寶、微信��,全球眾多互聯(lián)網(wǎng)公司周二緊急應(yīng)對(duì)最新發(fā)現(xiàn)的互聯(lián)網(wǎng)漏洞“心血”(Heartbleed)����。安全專家們說(shuō),“心血”可能是互聯(lián)網(wǎng)安全史上最致命一擊:利用該漏洞�,黑客可實(shí)時(shí)獲取很多https開(kāi)頭網(wǎng)址的用戶登錄帳號(hào)密碼,涉及購(gòu)物�、網(wǎng)銀、微博微信���、郵箱等知名網(wǎng)站。目前已有業(yè)內(nèi)人士表示�����,利用這一漏洞獲得了雅虎用戶的密碼�����。
看到某個(gè)網(wǎng)站網(wǎng)址用了https開(kāi)頭,就是採(cǎi)用了SSL安全協(xié)議�����。而OpenSSL�,則是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議,囊括了主要的密碼算法����、常用的密鑰和證書(shū)封裝管理功能以及SSL協(xié)議,并提供了豐富的應(yīng)用程序供測(cè)試或其他目的使用�����。換言之��,OpenSSL是互聯(lián)網(wǎng)上銷量最大的鎖��,是旨在保證互聯(lián)網(wǎng)通訊安全的一種加密協(xié)議��。而在周一��,這把鎖出現(xiàn)了“核彈級(jí)”的漏洞“心血”���。
5分鐘破200用戶密碼
“心血”影響了互聯(lián)網(wǎng)的許多方面����,因?yàn)槿騼纱缶W(wǎng)絡(luò)服務(wù)器Apache和nginx都使用OpenSSL。這兩種服務(wù)器約佔(zhàn)全球網(wǎng)站總數(shù)的三分之二��。據(jù)中國(guó)ZoomEye網(wǎng)站統(tǒng)計(jì)���,全中國(guó)有33303個(gè)受本次OpenSSL漏洞影響�����。
安全專家們稱����,“心血”漏洞實(shí)際上讓黑客能夠獲得服務(wù)器的密鑰��,而該密鑰用于加密通過(guò)互聯(lián)網(wǎng)傳遞的信息�。黑客也可能會(huì)潛入服務(wù)器內(nèi)存,一次盜走64千字節(jié)(byte)的數(shù)據(jù)包���。只要有足夠的耐心,黑客就可以獲取足夠多的數(shù)據(jù)�,拼湊出訪問(wèn)網(wǎng)站用戶的用戶名及密碼等。
在漏洞公開(kāi)后�,信息安全公司Fox-IT的普林斯就通過(guò)Twitter表示:“我們已通過(guò)‘心血’漏洞獲得了雅虎的一個(gè)用戶名和密碼�����?���!倍硪幻_(kāi)發(fā)者加洛維表示:“運(yùn)行‘心血’腳本5分鐘時(shí)間�,就獲得了雅虎電子郵箱的200個(gè)用戶名和密碼?!?
內(nèi)地多家大網(wǎng)站中招
在中國(guó),雅虎門戶主頁(yè)�����、微信公眾號(hào)�����、微信網(wǎng)頁(yè)版�、YY 語(yǔ)言、淘寶�、網(wǎng)銀,陌陌等熱門網(wǎng)站均“中招”���,只能升級(jí)軟件修補(bǔ)漏洞����。
星期二,亞馬遜�����、雅虎��、Tumblr和密碼管理公司LastPass等企業(yè)都表示在給OpenSSL軟件打上最近發(fā)布的補(bǔ)丁����。美國(guó)聯(lián)邦調(diào)查局(FBI)稱其採(cǎi)用了內(nèi)容分發(fā)網(wǎng)絡(luò)服務(wù),并表示其伙伴已經(jīng)給產(chǎn)品打上了補(bǔ)丁��。微軟的發(fā)言人說(shuō):微軟正密切關(guān)注有關(guān)OpenSSL安全漏洞的報(bào)道�,如果他們認(rèn)定此事給設(shè)備和服務(wù)帶來(lái)了影響,他們將採(cǎi)取必要措施保護(hù)客戶��。谷歌的發(fā)言人說(shuō)�,該公司已對(duì)SSL的弱點(diǎn)進(jìn)行了評(píng)估,并對(duì)關(guān)鍵服務(wù)發(fā)布了補(bǔ)丁程序�����。
少登陸https開(kāi)頭網(wǎng)站
不過(guò)安全問(wèn)題研究人員認(rèn)為��,僅僅對(duì)OpenSSL軟件打補(bǔ)丁并不能奏效�。Venafi公司的赫德森說(shuō),人們尚未認(rèn)識(shí)到����,除非更改所有密鑰和證書(shū),否則仍然很容易受到攻擊�����。
對(duì)于不幸訪問(wèn)了受影響網(wǎng)站的普通網(wǎng)民���,專家建議�����,在未來(lái)一兩天內(nèi)�,盡量少登陸以https開(kāi)頭的網(wǎng)站�,并盡可能少用內(nèi)地網(wǎng)銀服務(wù),避免自己的帳號(hào)密碼被黑客竊取�。如果在近期登陸過(guò),就考慮更換密碼�,以策安全。與此同時(shí)�,密切關(guān)注個(gè)人財(cái)務(wù)報(bào)告�����,因?yàn)楹诳陀锌赡塬@取服務(wù)器內(nèi)存取的信用卡信息����,所以要關(guān)注銀行月結(jié)單中的異?�?劭?����。
.png)