“網(wǎng)絡(luò)核彈”當(dāng)前全球互聯(lián)網(wǎng)大佬緊急排險(xiǎn)

2014-04-10 11:12? ?來(lái)源：新華網(wǎng) 責(zé)任編輯：藍(lán)曉梅　陳瑜輝

分享到：

“網(wǎng)絡(luò)核彈”當(dāng)前，全球互聯(lián)網(wǎng)大佬緊急排險(xiǎn)

專(zhuān)家建議，網(wǎng)站未打補(bǔ)丁前別急著修改密碼

本周二，黑客和“白帽”（使用正當(dāng)手段優(yōu)化網(wǎng)站的IT人士）們經(jīng)歷了一個(gè)不眠之夜。

他們有的在狂歡，逐個(gè)進(jìn)入戒備森嚴(yán)的網(wǎng)站，耐心地收集泄漏數(shù)據(jù)，拼湊出用戶的明文密碼；有的在艱苦升級(jí)系統(tǒng)，統(tǒng)計(jì)漏洞信息，還要準(zhǔn)備說(shuō)服客戶的說(shuō)辭，讓他們意識(shí)到問(wèn)題的嚴(yán)重性……

當(dāng)天，從亞馬遜到雅虎，多個(gè)國(guó)際大牌互聯(lián)網(wǎng)公司都召開(kāi)緊急會(huì)議，應(yīng)對(duì)最新發(fā)現(xiàn)的互聯(lián)網(wǎng)漏洞“心臟出血（Heart bleed）”。這是發(fā)現(xiàn)者們給這個(gè)號(hào)稱本年度最嚴(yán)重安全漏洞起的形象的名字。

“心臟出血”是Open SSL（作為互聯(lián)網(wǎng)的基礎(chǔ)安全協(xié)議，它被廣泛運(yùn)用，全球約2/3網(wǎng)站都使用該技術(shù)）中的一個(gè)漏洞，后者是旨在保證互聯(lián)網(wǎng)通訊安全的一種加密協(xié)議。周一被曝光的漏洞影響了互聯(lián)網(wǎng)的許多方面，因?yàn)镺pen SSL是Apache Web服務(wù)器的默認(rèn)安全通訊選項(xiàng)。Open SSL在虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）技術(shù)中也被普遍使用，后者是一種能讓企業(yè)員工遠(yuǎn)程連上公司網(wǎng)進(jìn)行工作的技術(shù)。

安全專(zhuān)家們說(shuō)，“心臟出血”漏洞將影響至少2億中國(guó)網(wǎng)民，經(jīng)初步評(píng)估，一批采用“https”登錄方式的主流網(wǎng)站，有不少于30%的網(wǎng)站中招，其中包括大家最常用的購(gòu)物、網(wǎng)銀、社交、門(mén)戶、微博、微信、郵箱等知名網(wǎng)站和服務(wù)。利用這一漏洞，黑客可以坐在自己家中，就獲取到用戶的登錄賬號(hào)、密碼、cookie等敏感數(shù)據(jù)。

一位安全行業(yè)人士透露，他曾在某著名電商網(wǎng)站上用這個(gè)漏洞嘗試讀取數(shù)據(jù)，在讀取200次后，獲得了40多個(gè)用戶名、7個(gè)密碼，用這些密碼，他成功地登錄了該網(wǎng)站。

同時(shí)，經(jīng)360網(wǎng)絡(luò)攻防實(shí)驗(yàn)室檢測(cè)發(fā)現(xiàn)，全球開(kāi)放443端口的主機(jī)共有40041126個(gè)，其中受“心臟出血”漏洞影響的主機(jī)超過(guò)3.2萬(wàn)個(gè)。

360安全專(zhuān)家石曉虹告訴記者，Open SSL最新被發(fā)現(xiàn)的這一漏洞堪稱“網(wǎng)絡(luò)核彈”，網(wǎng)銀、網(wǎng)購(gòu)、網(wǎng)上支付、郵箱等眾多網(wǎng)站都可能受其影響。無(wú)論用戶電腦多么安全，只要網(wǎng)站使用了存在漏洞的Open SSL 版本，用戶登錄該網(wǎng)站時(shí)就可能被黑客實(shí)時(shí)監(jiān)控到登錄賬號(hào)和密碼。

石曉虹提醒廣大互聯(lián)網(wǎng)服務(wù)商，盡快將Open SSL 升級(jí)，以進(jìn)行修復(fù)，同時(shí)建議廣大網(wǎng)友，在此漏洞得到修復(fù)前，暫時(shí)不要在受到漏洞影響的網(wǎng)站上登錄賬號(hào)。

另有專(zhuān)家在接受媒體采訪時(shí)建議普通用戶，暫時(shí)不要急于更換密碼，要保持耐心，等待相關(guān)網(wǎng)站完成修補(bǔ)安全漏洞之后再更換密碼，因?yàn)槿绻W(wǎng)站還未修復(fù)漏洞，修改密碼的操作反而可能導(dǎo)致新密碼被竊。應(yīng)當(dāng)關(guān)注自己登錄的網(wǎng)站是否已經(jīng)修復(fù)，一旦確認(rèn)漏洞被修復(fù)，立即修改密碼。

而瑞星安全專(zhuān)家唐威在接受記者采訪時(shí)則認(rèn)為，這個(gè)漏洞影響可能沒(méi)有那么大，因?yàn)樗皇轻槍?duì)特定版本。“升級(jí)到最新的Open SSL版本，后期定期打補(bǔ)丁，就可以消除掉這一漏洞，這是相關(guān)互聯(lián)網(wǎng)企業(yè)目前最便捷的做法。”

但不管怎樣，這一漏洞被發(fā)現(xiàn)后，亞馬遜、雅虎等多個(gè)全球著名互聯(lián)網(wǎng)企業(yè)和密碼管理公司Last Pass等都紛紛表示在給Open SSL軟件打上最新發(fā)布的補(bǔ)丁。□本報(bào)記者莊鄭悅

相關(guān)閱讀: