您好,欢迎来到六三网联,已有 233 家用户正在使用六三网联云服务!
首页 > 网络学院 > 行业新闻  OpenSSL漏洞引网络安全地震:涉及2亿用户 3万多个网站

点击次数:  更新时间:2014-04-12 11:04:01

C07 智在公司

涉及2亿用户3万多个网站

网络安全大地震OpenSSL漏洞曝光

OpenSSL漏洞引网络安全地震:涉及2亿用户 3万多个网站

2014年4月8日,在互联网世界发生了两件大事,除了微软正式宣布XP停止服务退役之外,更令人关注的是OpenSSL的大漏洞曝光。

OpenSSL的大漏洞是由Codenomicon和谷歌安全部门的研究人员独立发现的。为了将影响降到最低,研究人员已经与OpenSSL团队和其他关键的内部人士展开了合作,在公布该问题前就已经准备好修复方案。

某网站安全检测平台对国内120万家经过授权的网站扫描,其中有3万多个网站主机受漏洞影响。4月7日、4月8日期间,共计约两亿网友访问了存在漏洞的网站。目前,大部分网站和支付平台已经完成了修复工作。

急补“心脏出血”漏洞

出现漏洞后,让特定版本的OpenSSL成为无需钥匙即可开启的废锁,入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据。

OpenSSL被曝出的安全漏洞在黑客社区中被命名为“心脏出血”。利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到很多https开头网址的用户登录账号密码,包括网银、知名购物网站、电子邮件等信息。

据了解,OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,在中国的金融类网站、电商网站、门户网站上均广泛使用,被形容为“互联网上销量最大的门锁”。

然而,出现漏洞后,让特定版本的OpenSSL成为无需钥匙即可开启的废锁,入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据。

“OpenSSL‘心脏出血’漏洞为本年度互联网上最严重的安全漏洞,影响至少两亿中国网民,初步评估一批https登录方式的主流网站,有不少于30%的网站中招,其中包括大家最常用的购物、网银、社交、门户、微博、微信、邮箱等知名网站和服务。” 360安全专家石晓虹博士表示。

自这个漏洞被曝出后,安全专家们与黑客已经展开了激烈竞赛。腾讯方面称,“公司已在第一时间进行处理,目前相关的产品业务如邮箱、财付通、QQ、微信等都已经修复完毕,大家可以放心使用。”雅虎发言人表示,“我们的团队已经在雅虎的各个主要网站上成功完成修复,我们正在针对公司旗下其他的网站实施修复。”谷歌回应:“公司已对SSL的弱点进行了评估,并对关键服务发布了补丁程序。”此外,包括12306网站、陌陌、知乎、淘宝网、360应用等也已经完成修复。

除了各大网站之外,受影响的另一方则是在线支付。4月9日,中国金融认证中心(CFCA)官方网站挂出文章,针对OpenSSL漏洞对网银的影响进行了说明。“网银系统均使用商业级的SSL加密设备,很少有采用类似OpenSSL这样的开源软件,因此受到的影响较少。而对于普通用户,U盾可以完全放心使用。对于不能确认的网站,可通过一些免费的在线工具验证一下访问的网站是否存在这个漏洞。如果存在此漏洞的话,先暂停访问,等待漏洞得到修复。”

事实上,OpenSSL的漏洞早在两年前就出现了,有业内人士担忧不知道是否已有黑客利用漏洞获取了用户资料,而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。

艾媒CEO张毅在接受《中国经营报》记者采访时表示,对此次漏洞事件持乐观态度。“之前黑客盗取数据的情况应该会有,但是到目前为止没有出现大面积的泄露和资金流失,至少说明情况不是很严重。另外,现在大家重视起来,主流服务平台都会进行修复升级,所以以后的问题应该也不会特别大。”

商业机会涌现

为了防止类似的情况出现,一些安全类软件公司显然存在商业机会,尤其是针对企业的安全服务商,因为在这种情况下大家会更倾向于使用付费软件。

在此次OpenSSL漏洞给互联网企业带来系统性风险的同时,该事件也起到了警示作用。虽然在各大网站完成修复后,事情会逐渐恢复平静,但由于OpenSSL应用非常广泛,所以相对网站等表面上的应用,它在各种客户端、VPN、WAF等其他领域,也将带来更加隐蔽的风险,并将持续一段时间。

有专家指出,出于安全考虑,政府有关职能部门应在第一时间向全国发出警报。但从目前反应出的情况来看,我国重大安全事件的紧急处置及联动机制还不够健全。而国家应急中心一位负责人也指出,我国从2003年起,就开始试图建立漏洞触发机制,但这一块工作的细化和操作在实践层面还缺乏清晰的路径。

中国计算机学会信息安全专业委员会主任严明认为,对于政府职能部门,目前公安或者其他相关部门应当立即启动应急措施,促进通报漏洞信息,并强制推动所有受到漏洞影响的网站进行技术升级和修补。在这一阶段完成后,再对那些出现了财产侵占的非法行为进行查处追责。

而对于企业而言,则要意识到问题的重要性,北京知道创宇信息技术有限公司持续监测发现,一些机构升级了OpenSSL,如金山、百度、360等;一些选择暂停SSL服务,但仍继续使用其主要功能,如微信;有的为规避风险,干脆暂停网站全部服务;更有一部分根本没有采取任何措施。


另一方面,为了防止类似的情况出现,一些安全类软件公司显然存在商业机会。比如,360迅速推出OpenSSL漏洞在线检查工具,输入网址就能够检测网站是否存在该漏洞,帮助用户避免相应风险,同时还开通了热线电话,网站用户在升级和维护网站过程中,可以随时拨打该热线电话,获得免费全程技术支持。

不过在张毅看来,“像360这种企业以提供免费服务为主。而对于付费的安全软件服务商,尤其是针对企业的安全服务商也是不错的机会,包括卡巴斯基等,因为在这种情况下大家会更倾向于使用付费软件。”

就目前的情况而言,有业内专家建议,对重要服务,网民应尽可能开通手机验证或动态密码,比如支付宝、邮箱等,登录重要服务,不仅仅需要验证用户名密码,最好绑定手机,加手机验证码登录。这样就算黑客拿到账户密码,登录还有另一道门槛。如果随着事件进展,可能受波及的网络服务在增加或更明确,建议用户修改重要服务的登录密码。一个密码的使用时间不宜过长,超过3个月就该换掉了。

丹江口网站建设丹江口网店装修设计产品推广手机移动商务领先运营服务商--湖北省十堰市丹江口六三网联始终致力于为丹江口的成长型企业提供信息化服务,充分利用国内领先“云平台”的信息化服务模式,并定义为“信息化运营”,以网站建设为切入点,向成长型企业提供网站设计制作丹江口淘宝装修丹江口天猫装修丹江口京东装修企业邮局网络推广手机官网手机APP微信公众平台微官网等一站式信息化整体解决方案。丹江口六三网联一直以过硬的产品和完善的服务为优势,始终领先于丹江口网站建设及企业信息化运营领域。
丹江口六三网联网站建设QQ 丹江口六三网联联系方式

63wl.com 63wl.cn © 2012-2016    鄂ICP备14004598号  网站地图  XML

地址:湖北省丹江口市(十堰市)陵园路605厂  电话:18371910003  邮箱:man@63wl.com