• 关于我们 联系我们
当前位置:安全行业动态 → 正文

门锁成废锁,“心脏出血”让互联网现伤口

责任编辑:editor004 |来源:企业网D1Net  2014-04-15 11:14:27 本文摘自:光明日报

近日,互联网基础组件OpenSSL爆出严重安全漏洞,这一被命名为“心脏出血”的漏洞,让攻击的黑客、维护网络安全的“白帽子”、修复升级系统版本的互联网公司等纷纷闻“血”而动,网民则在毫不知情的情况下访问着已处于“裸奔”状态的站点。据统计,仅7日、8日期间,就有共计约2亿网友访问了存在OpenSSL漏洞的网站。“心脏出血”是什么样的漏洞?为什么会被称为“近年来最严重的安全漏洞”?互联网时代,网民如何尽量自保安全?

门锁成废锁,“心脏出血”让互联网现伤口

在互联网的世界里,“漏洞”从来都不是一个低曝光率的词,这一次,爆出漏洞的是互联网基础组件OpenSSL。

OpenSSL是什么?“SSL是为网络通信提供安全及数据完整性的一种安全协议,也是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。”360安全专家安扬告诉记者,“OpenSSL是基于SSL的开源免费软件,由于免费和易用,是目前互联网上应用最广泛的安全传输方法。”形象地说,OpenSSL可以看作互联网上销量最大的“门锁”,此次爆出的漏洞,让特定版本的OpenSSL成为无需“钥匙”即可开启的“废锁”。这个漏洞被命名为“心脏出血”。

“心脏出血”是如何影响互联网安全的呢?有专家表示,“心脏出血”是OpenSSL源代码出现的一个漏洞,这个漏洞的本质是内存泄漏。这一漏洞的存在,可以让攻击者获得服务器返回的64KB的内存数据。这部分数据中,可能存有安全证书、用户名与密码、电子邮件以及重要的商业文档等数据。虽然攻击者每次只能翻检64KB大小的信息,但只要他有足够的耐心和时间,就能找出足够多的数据以拼凑完整的数据信息。

在国家信息安全漏洞共享平台(CNVD)上,该漏洞的综合评级为“高危”。由CNVD组织完成的多个测试实例表明,根据对应OpenSSL服务器承载业务类型,攻击者一般可获得用户实时连接的用户账号密码、会话Cookies等敏感信息,进一步可直接取得相关用户权限,窃取私密数据或执行非授权操作。一位安全行业人士亲自验证后透露,他在某著名电商网站用“心脏出血”漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功登录了该网站。

360安全专家石晓虹表示,此次OpenSSL漏洞堪称“网络核弹”,很多隐私信息都存储在网站服务器的内存中,无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。

安扬表示,OpenSSL漏洞风险极高,不仅普通网民受到影响,而且很多核心机构和各大公司集团也正在遭遇一场信息安全危机。

然而,尽管多数人认为此次漏洞危害严重,但也有不同的声音传来。在广东井田云科技有限公司首席架构设计师何渐兴看来,“心脏出血”漏洞有被夸大的嫌疑,网民不必过分担心。但他同时也表示,网络安全无小事,各网站运营商应第一时间堵上漏洞。

安全危机或持续蔓延,网民如何自保?

据统计,仅7日、8日,就有共计约2亿网友访问了存在OpenSSL漏洞的网站,但其中有多少人被盗取信息仍是未知数。事实上,该款缺陷软件自2012年3月推出至今已两年有余,黑客是否已利用漏洞获取用户资料尚无从得知。根据权威网络空间搜索引擎Zoomeye系统扫描,我国全境至少有33303台服务器受此次漏洞影响,覆盖从消费到通讯、社交等众多国内知名网站。

许多“中招”网站发现漏洞后也纷纷采取紧急措施,据360公司4月11日发布的监测数据显示,71.9%的网站已修复该漏洞。

尽管修复工作仍在持续进行,但“心脏出血”的影响或许并不会就此结束。安全专家提醒,虽然登录重要网站被黑客直接抓取密码的风险目前来看已经不大,但对电脑软件、手机APP、VPN、邮件系统、网络设备等其他受影响的互联网产品和服务来说,此次漏洞造成的内伤很难短期内完全恢复。毕竟,抓密码只是表面危害,对于黑客高手来说,利用此漏洞对核心机构和各大企业实施入侵渗透才是最大的威胁,甚至影响国家信息安全。

而对普通网民来说,从该漏洞曝光到网站修复漏洞的这段时间内,已有黑客利用“心脏出血”漏洞进行攻击,有些网站用户信息或许已被黑客获取。安扬认为,接下来,不法黑客可能会利用其获取到的信息,进行欺诈等攻击。因此,随后较长的一段时间内,网民应格外注意账号安全,并谨防各种盗用身份的诈骗信息。

网民该如何在这样一场还在持续流淌的“心脏出血”影响中自保?石晓虹建议,用户在确认相关网站升级修复前,尽量避免登入账号,更不要登录网银及其他支付类的接口账户;对于一些已完成修复升级的网站,用户则应当尽快登录网站更改密码等重要信息。

事实上,抛开这次的“心脏漏洞”,互联网的安全风险是长期存在的,网民应建立良好的安全习惯。对此,安扬建议网民,重要账号单独设置高强度的密码,并定期修改密码;网页浏览完删除cookies,以清除储存在用户本地终端上的数据;不随意点击陌生人发布的链接,不接受运行来历不明的文件;电脑和手机开启安全软件保护,及时修复漏洞。

关键字:漏洞心脏内存数据zoomeye

本文摘自:光明日报

x 门锁成废锁,“心脏出血”让互联网现伤口 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

门锁成废锁,“心脏出血”让互联网现伤口

责任编辑:editor004 |来源:企业网D1Net  2014-04-15 11:14:27 本文摘自:光明日报

近日,互联网基础组件OpenSSL爆出严重安全漏洞,这一被命名为“心脏出血”的漏洞,让攻击的黑客、维护网络安全的“白帽子”、修复升级系统版本的互联网公司等纷纷闻“血”而动,网民则在毫不知情的情况下访问着已处于“裸奔”状态的站点。据统计,仅7日、8日期间,就有共计约2亿网友访问了存在OpenSSL漏洞的网站。“心脏出血”是什么样的漏洞?为什么会被称为“近年来最严重的安全漏洞”?互联网时代,网民如何尽量自保安全?

门锁成废锁,“心脏出血”让互联网现伤口

在互联网的世界里,“漏洞”从来都不是一个低曝光率的词,这一次,爆出漏洞的是互联网基础组件OpenSSL。

OpenSSL是什么?“SSL是为网络通信提供安全及数据完整性的一种安全协议,也是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。”360安全专家安扬告诉记者,“OpenSSL是基于SSL的开源免费软件,由于免费和易用,是目前互联网上应用最广泛的安全传输方法。”形象地说,OpenSSL可以看作互联网上销量最大的“门锁”,此次爆出的漏洞,让特定版本的OpenSSL成为无需“钥匙”即可开启的“废锁”。这个漏洞被命名为“心脏出血”。

“心脏出血”是如何影响互联网安全的呢?有专家表示,“心脏出血”是OpenSSL源代码出现的一个漏洞,这个漏洞的本质是内存泄漏。这一漏洞的存在,可以让攻击者获得服务器返回的64KB的内存数据。这部分数据中,可能存有安全证书、用户名与密码、电子邮件以及重要的商业文档等数据。虽然攻击者每次只能翻检64KB大小的信息,但只要他有足够的耐心和时间,就能找出足够多的数据以拼凑完整的数据信息。

在国家信息安全漏洞共享平台(CNVD)上,该漏洞的综合评级为“高危”。由CNVD组织完成的多个测试实例表明,根据对应OpenSSL服务器承载业务类型,攻击者一般可获得用户实时连接的用户账号密码、会话Cookies等敏感信息,进一步可直接取得相关用户权限,窃取私密数据或执行非授权操作。一位安全行业人士亲自验证后透露,他在某著名电商网站用“心脏出血”漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功登录了该网站。

360安全专家石晓虹表示,此次OpenSSL漏洞堪称“网络核弹”,很多隐私信息都存储在网站服务器的内存中,无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。

安扬表示,OpenSSL漏洞风险极高,不仅普通网民受到影响,而且很多核心机构和各大公司集团也正在遭遇一场信息安全危机。

然而,尽管多数人认为此次漏洞危害严重,但也有不同的声音传来。在广东井田云科技有限公司首席架构设计师何渐兴看来,“心脏出血”漏洞有被夸大的嫌疑,网民不必过分担心。但他同时也表示,网络安全无小事,各网站运营商应第一时间堵上漏洞。

安全危机或持续蔓延,网民如何自保?

据统计,仅7日、8日,就有共计约2亿网友访问了存在OpenSSL漏洞的网站,但其中有多少人被盗取信息仍是未知数。事实上,该款缺陷软件自2012年3月推出至今已两年有余,黑客是否已利用漏洞获取用户资料尚无从得知。根据权威网络空间搜索引擎Zoomeye系统扫描,我国全境至少有33303台服务器受此次漏洞影响,覆盖从消费到通讯、社交等众多国内知名网站。

许多“中招”网站发现漏洞后也纷纷采取紧急措施,据360公司4月11日发布的监测数据显示,71.9%的网站已修复该漏洞。

尽管修复工作仍在持续进行,但“心脏出血”的影响或许并不会就此结束。安全专家提醒,虽然登录重要网站被黑客直接抓取密码的风险目前来看已经不大,但对电脑软件、手机APP、VPN、邮件系统、网络设备等其他受影响的互联网产品和服务来说,此次漏洞造成的内伤很难短期内完全恢复。毕竟,抓密码只是表面危害,对于黑客高手来说,利用此漏洞对核心机构和各大企业实施入侵渗透才是最大的威胁,甚至影响国家信息安全。

而对普通网民来说,从该漏洞曝光到网站修复漏洞的这段时间内,已有黑客利用“心脏出血”漏洞进行攻击,有些网站用户信息或许已被黑客获取。安扬认为,接下来,不法黑客可能会利用其获取到的信息,进行欺诈等攻击。因此,随后较长的一段时间内,网民应格外注意账号安全,并谨防各种盗用身份的诈骗信息。

网民该如何在这样一场还在持续流淌的“心脏出血”影响中自保?石晓虹建议,用户在确认相关网站升级修复前,尽量避免登入账号,更不要登录网银及其他支付类的接口账户;对于一些已完成修复升级的网站,用户则应当尽快登录网站更改密码等重要信息。

事实上,抛开这次的“心脏漏洞”,互联网的安全风险是长期存在的,网民应建立良好的安全习惯。对此,安扬建议网民,重要账号单独设置高强度的密码,并定期修改密码;网页浏览完删除cookies,以清除储存在用户本地终端上的数据;不随意点击陌生人发布的链接,不接受运行来历不明的文件;电脑和手机开启安全软件保护,及时修复漏洞。

关键字:漏洞心脏内存数据zoomeye

本文摘自:光明日报

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^