圖:300多名黑客3月21日在日內(nèi)瓦參加黑客大賽/法新社
從美國(guó)亞馬遜����、雅虎�,到中國(guó)淘寶、微信��,全球眾多互聯(lián)網(wǎng)公司周二緊急應(yīng)對(duì)最新發(fā)現(xiàn)的互聯(lián)網(wǎng)漏洞“心血”(Heartbleed)。安全專家們說�,“心血”可能是互聯(lián)網(wǎng)安全史上最致命一擊:利用該漏洞,黑客可實(shí)時(shí)獲取很多https開頭網(wǎng)址的用戶登錄帳號(hào)密碼����,涉及購(gòu)物����、網(wǎng)銀、微博微信���、郵箱等知名網(wǎng)站��。目前已有業(yè)內(nèi)人士表示�����,利用這一漏洞獲得了雅虎用戶的密碼�。
看到某個(gè)網(wǎng)站網(wǎng)址用了https開頭����,就是採(cǎi)用了SSL安全協(xié)議。而OpenSSL�,則是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議����,囊括了主要的密碼算法��、常用的密鑰和證書封裝管理功能以及SSL協(xié)議�,并提供了豐富的應(yīng)用程序供測(cè)試或其他目的使用。換言之�����,OpenSSL是互聯(lián)網(wǎng)上銷量最大的鎖���,是旨在保證互聯(lián)網(wǎng)通訊安全的一種加密協(xié)議����。而在周一�����,這把鎖出現(xiàn)了“核彈級(jí)”的漏洞“心血”����。
5分鐘破200用戶密碼
“心血”影響了互聯(lián)網(wǎng)的許多方面,因?yàn)槿騼纱缶W(wǎng)絡(luò)服務(wù)器Apache和nginx都使用OpenSSL���。這兩種服務(wù)器約佔(zhàn)全球網(wǎng)站總數(shù)的三分之二�。據(jù)中國(guó)ZoomEye網(wǎng)站統(tǒng)計(jì),全中國(guó)有33303個(gè)受本次OpenSSL漏洞影響�。
安全專家們稱,“心血”漏洞實(shí)際上讓黑客能夠獲得服務(wù)器的密鑰����,而該密鑰用于加密通過互聯(lián)網(wǎng)傳遞的信息。黑客也可能會(huì)潛入服務(wù)器內(nèi)存��,一次盜走64千字節(jié)(byte)的數(shù)據(jù)包�����。只要有足夠的耐心�,黑客就可以獲取足夠多的數(shù)據(jù)���,拼湊出訪問網(wǎng)站用戶的用戶名及密碼等�����。
在漏洞公開后����,信息安全公司Fox-IT的普林斯就通過Twitter表示:“我們已通過‘心血’漏洞獲得了雅虎的一個(gè)用戶名和密碼�!倍硪幻_發(fā)者加洛維表示:“運(yùn)行‘心血’腳本5分鐘時(shí)間,就獲得了雅虎電子郵箱的200個(gè)用戶名和密碼����。”
內(nèi)地多家大網(wǎng)站中招
在中國(guó)���,雅虎門戶主頁����、微信公眾號(hào)����、微信網(wǎng)頁版、YY 語言���、淘寶��、網(wǎng)銀�����,陌陌等熱門網(wǎng)站均“中招”���,只能升級(jí)軟件修補(bǔ)漏洞�。
星期二�����,亞馬遜����、雅虎、Tumblr和密碼管理公司LastPass等企業(yè)都表示在給OpenSSL軟件打上最近發(fā)布的補(bǔ)丁�����。美國(guó)聯(lián)邦調(diào)查局(FBI)稱其採(cǎi)用了內(nèi)容分發(fā)網(wǎng)絡(luò)服務(wù)��,并表示其伙伴已經(jīng)給產(chǎn)品打上了補(bǔ)丁�����。微軟的發(fā)言人說:微軟正密切關(guān)注有關(guān)OpenSSL安全漏洞的報(bào)道���,如果他們認(rèn)定此事給設(shè)備和服務(wù)帶來了影響,他們將採(cǎi)取必要措施保護(hù)客戶。谷歌的發(fā)言人說�,該公司已對(duì)SSL的弱點(diǎn)進(jìn)行了評(píng)估,并對(duì)關(guān)鍵服務(wù)發(fā)布了補(bǔ)丁程序����。
少登陸https開頭網(wǎng)站
不過安全問題研究人員認(rèn)為,僅僅對(duì)OpenSSL軟件打補(bǔ)丁并不能奏效���。Venafi公司的赫德森說���,人們尚未認(rèn)識(shí)到,除非更改所有密鑰和證書�����,否則仍然很容易受到攻擊�����。
對(duì)于不幸訪問了受影響網(wǎng)站的普通網(wǎng)民�,專家建議,在未來一兩天內(nèi)����,盡量少登陸以https開頭的網(wǎng)站,并盡可能少用內(nèi)地網(wǎng)銀服務(wù),避免自己的帳號(hào)密碼被黑客竊取����。如果在近期登陸過,就考慮更換密碼���,以策安全�。與此同時(shí)���,密切關(guān)注個(gè)人財(cái)務(wù)報(bào)告���,因?yàn)楹诳陀锌赡塬@取服務(wù)器內(nèi)存取的信用卡信息,所以要關(guān)注銀行月結(jié)單中的異��?劭����。
