首页财经股票大盘个股新股行情港股美股基金理财黄金银行保险私募信托期货直播视频博客论坛爱股汽车房产科技图片彩票我的金融界

安全专家解读:有关“心脏出血”漏洞 你应该了解什么?

白银大赛千万实盘资金派送中 2014年04月10日 11:45   来源: 钛媒体   网友评论(人参与

昨日开始,一个名为“心脏流血”网络安全漏洞引起了广泛关注,堪称“年度安全漏洞”。这个名为Heartbleed的漏洞最早由谷歌研究员尼尔·梅塔(Neel Mehta)发现,它可从特定服务器上随机获取64k的工作日志,整个过程如同钓鱼,攻击可能一次次持续进行,大量敏感数据可能泄露。权威发布该漏洞信息的网站Heartbleed.com,目前已经详细发布了有关这一漏洞的原理以及修复方法。 类似的互联网安全漏洞在去年就曾发生过一起。去年,一个由JAVA Struts 2引发的漏洞出现,导致“用JAVA Struts 2的这个结构来开发的程序会面临被黑客入侵”,是一次由程序语言引发的漏洞事件,主要针对的也是电商网站,对银行造成了重大威胁。 而安全专家、360副总裁兼首席隐私官谭晓生对钛媒体表示,今年的OpenSSL漏洞,影响范围比去年的JAVA事件要更广泛,可以理解为全面覆盖各个行业。谭晓生从网络安全的角度对这一漏洞进行了解析和科普。作为赖以网络生存的网民,你到底需要了解什么? 钛媒体根据谭晓生的现场发言和问答,将核心问题整理如下: 漏洞的问题出在哪? 网络安全漏洞比较常见。去年,业内曾出现一个由JAVA Struts 2引发的漏洞出现,导致“用JAVA Struts 2的这个结构来开发的程序会面临被黑客入侵”,是一次由程序语言引发的漏洞事件,主要针对的也是电商网站,对银行造成了重大威胁。 而这一次爆发的漏洞,之所以命名为“心脏出血”,根本原因是基本的安全通信方式出了问题。 SSL是怎么回事? SSL安全套接层(Secure Sockets Layer,SSL)是一种安全协议,是在通信的时候进行加密传输的协议。由网景公司(Netscape)推出首版Web浏览器的同时推出。 谭晓生举了很通俗的例子来说明:当我们要找人送信,这封信如果你明文写的,在传输过程当中就有人能够打开这封信,能够读到信件的内容。从古代开始,人们开始对信做“秘文”的处理,没有密码对照表的人看不懂(这和地下党潜伏时期使用的密电道理一样)。在计算机的通信领域,有同样的加密技术。我在传输的时候把这个“信”——比如在网络上传输出去的时候,对内容加密,到接受端再被解开,大家做加密的时候要有一个协议,类似要商量好“我送过去是什么东西”,你在接受的时候再解密——这就产生了SSL协议。 而这个协议,最终在计算机世界里面得有人把它写成程序供大家使用。随着开源软件逐渐流行,有人做了OpenSSL的开源软件,所以OpenSSL是在互联网里面被广泛采用的用来做网络加密通信的一款软件。 很多厂商都使用了OpenSSL软件进行加密,包括国际上著名的网络设备厂商,这次无一例外也“中招”了;国产用户,除了比较清楚自己在哪些网站使用了OpenSSL的东西,还有部分VPN设备也大多数用了OpenSSL的代码(做了功能上的扩充或者性能上的增强),所以部分硬件、盒子也可能受到影响,因为设备中的供应商可能采用了OpenSSL协议。

     这次暴露出来的漏洞,会让黑客产生什么攻击? 用户在网络上选择做加密通信的时候,认为我传输的东西是比较关键的,比如我的用户名和口令、信用卡卡号、银行卡号还有支付密码等。甚至有一些见不得人的东西比如艳照之类的,通过加密邮件加密,是比较常见的加密通信。 在电商网站和网银系统,基本上采用的协议也是SSL。原因是,SSL协议在过去被使用的过程中被验证是比较可靠的,协议本身比较安全,协议中每一次密钥是动态变化的等等,具有一系列的安全机制。

    简言之,黑客攻击类似的网站、系统,办法就是“攻击服务器,把秘钥套出来”。不过,黑客是否能成功获取加密的私钥,安全领域各方还存在争论,360公司负责网络安全的工程师正在就此做评估。 预计将带来哪些危害? 第一、一旦危害造成,绝不会像过去的漏洞那么简单。 也就是说,软件开发者或者安全专家把这个漏洞补了之后不再发生,就万事大吉了——这件事的预测这件事的首尾比较长,这件事的攻击方法在4月7号被之前应该流传一段时间,美国一个网站一周之前就修复了这个,也就是他们有人知道了这个信息提前修复了。 在黑客里面有人得到了这个攻击方法,在4月7号这件事公布出来之前,有可能有黑客在互联网上扫描和收集过这些信息,它就把收集的一块块的64K、64K的数据收集,然后利用,危害和侵害是最后产生的。比如我拿了陈涛(音)的卡号和支付密码,我不见得立马取钱,他就赌他不知道这件事情,他可能不会及时的改密码,我过半个月取,这时候大家的警惕心就下来了,或者我用其它网站的帐号慢慢再黑上去,再去拿东西,这个事往后处理的时间和影响造成的危害会慢慢暴露。 第二、因为OpenSSL的VPN服务过去做得比较成功,所以用户众多,影响面比较广。

    9日中午,360公司刚刚处理完毕北京大学的VPN设备问题,工程师查到一个来自北京联通的IP在扫描器设备,而扫出来之后返回的结果是有问题的。在360相关人员检测到这件事之后,向北大网络中心的人询问,对方称,昨天就发现了,因为是一个VPN设备于是联系了厂商,厂商一直没有给回复。360联系到该服务厂商,厂商给出的建议是“软件降级”。

    问题就来了:受到漏洞影响的设备厂商,往往反应速度不够快。是生死上,解决漏洞问题的方法应是“软件升级”,而厂商无法及时提供一个版本修复现在的漏洞,供用户升级,只好给出“降级”的建议。 第三,还会有更加深远的影响。 因为OpenSSL这个产品,别人在使用它的时候,不仅仅把它当做一个独立的软件来用,还有把它当做基础模块来用。就是我建造房子的时候,我就用了这种砖,把这个房子砌起来,认为这块砖比较结实,结果我们发现这块砖是豆腐渣,它中间有重大的问题,也块砖某天在某种压力之下可能就碎了,尤其这种砖被用来建不同的房子都不知道。 影响范围有多大? 正如目前相关媒体报道中提到的,中国范围内受到此次漏洞影响的的服务器接近三万台。360公司的安全部门也在第一时间做了扫描,“在全球大概扫描出来4000万台服务器开了SSL的服务,在中国开通SSL服务的机器,我们的数字同另外一家厂商数字很接近,他扫出来三千几百万,我们扫出来的四千万台;其中,中国大约有3万台左右的服务器装了OpenSSL软件,大概有3万台服务器受影响。” 我们估计在过去的两天(4月7、8号),访问到3万台服务器的用户,大概接近1.5亿——2亿。可能不会影响到某个人,但过去两天内用户登陆过一些电商网站是有关系的,7、8号这两天有非常大的风险。部分信息可能被黑客盗取。 服务提供商和个人,该如何应对? 最需要知道的两个事实:一、淘宝、支付宝已经确认进行了修复;二、在确认登陆网站做过修复后,修改密码是最直接有效的办法。 网站要赶快做升级OpenSSL。原来是OpenSSL0.1G之前的版本,这是4月7号发布的版本,这就OK了。我们现在检测到的大概只有一小半的网站做了升级,还有一大半没有升级。大网站反映比较快,基本上昨天晚上连夜升级了,但是中小一点的网站,比如像政府的机构,它的行动会慢一些,还有一大半没有升级,网站升级,企业要检测自己的东西有没有问题,有的话自己能升的就升,不行找服务商,实在不行我们也开了热线电话,我们工程师会直到大家怎么升级。 对于个人,如果你登陆过需要输入登陆账号、或者网银的网站,接下来最好的方式就是查看一下,是否软件和漏洞有修复。比如像淘宝、支付宝之类的,我们已经确认这些站已经昨天晚上修复了。对于依然将长期使用这些网站的个人来说,最彻底的办法就是修改密码——但是不能先急着把所有的密码改了,先看这个站点有没有把所有出问题的部分修复好,如果已经把漏洞都补了,用户再去修改密码,对个人防护来说这是最有效的方法。 此外,还有一个问题,谁来负责通知那些可能有漏洞的网站? 国内的网络安全厂商都提供相关的服务。谭晓生表示,奇虎360针对此项服务的产品叫“360网站安全扫描”,目前,已有120万个网站在其系统进行登记。“我们有站长联系人信息,这里面做网站扫描我们发现有1万多个网站有问题,对这1万多个网站直接发了邮件,告诉站长有漏洞问题。具体数字大概1.14万个,这大概是中国合规网站数量的1/3,另外2/3我们有扫描数据,但是没有办法联系站长。” 然而业内有一点遗憾是:在漏洞修复这件事情上,作为提供安全服务的公司,却很难有所作为。因为“心脏出血”漏洞的修复将涉及到用户要去修改它自己服务器上的软件,作为第三方的软件厂商,涉及到用户信息是一件“很难做”的事情。

    (关注更多钛媒体作者观点,参与钛媒体微信互动(微信搜索“钛媒体”或“taimeiti”))

评论 已有 0 条评论
实盘直播
  • 06:54东部鸿运:

    绾虫柉杈惧厠缁煎悎鎸囨暟3鏈�3鏃ワ紙鍛ㄥ洓锛夋敹鐩樹笅璺�.95鐐癸紝璺屽箙锛�.07%锛屾姤58.....

    当前人气:0

  • 06:53短线锁定上涨:

    [褰姣忓ぉ鍜ㄨ] http://itougu.jrj.com.cn/view/189514.j.....

    当前人气:0

  • 06:51稳定赢利才是王道:

    1.1.鏈挱涓荤嫭涓�棤浜岀殑'鐩樺墠澶х洏鍒嗘瀽',姣忔棩寮�洏鍓嶈鍒掑綋鏃ュぇ鐩樻柟鍚戝強鍏.....

    当前人气:0

  • 06:51笑看风云老师:

    鐩墠琛屾儏涓嶆槸鐗瑰埆濂藉仛锛屾瘡澶╁氨閭d箞鍑犲崄涓釜鑲″弽澶嶆悘鐪肩悆锛岀湅璧锋潵娑ㄧ殑杞拌.....

    当前人气:0

  • 06:50宇辉战舰-丹辉:

    銆愮儹鐐归緳澶淬�娆℃柊 鏂扮枂瑗胯棌 搴勮偂

    当前人气:0

  • 06:50chengzhigang123:

    缇庝笢鏃堕棿3鏈�3鏃�6锛�0(鍖椾含鏃堕棿3鏈�4鏃�4锛�0)锛岄亾鎸囪穼4.72鐐癸紝鎴�......

    当前人气:0

  • 06:47文子投资:

    銆愭姇璧勮祫璁�鎹獟浣撴姤閬擄紝鎴戝浗鑷富鐮斿彂鐨勫楠ㄩ鏈哄櫒浜篎ourier X1杩戞湡.....

    当前人气:1

  • 06:42自律耐心乘势待时:

    鏂拌偂鐢宠喘锛�缇庤鍗庣瓑3鍙柊鑲�鏈�4鏃ョ敵璐紝 缇庤鍗庣敵璐唬鐮侊細732538锛�.....

    当前人气:0

  • 06:36财友73xu5z94:

    娴峰埄杩戞湡杩樹細瑙佸埌12鍏冧互涓娿�浣嗕細鏈変竴涓緝闀挎湡鐨勮皟鏁达紝寰呰皟鏁寸粨鏉燂紝閲嶆柊.....

    当前人气:0

  • 06:36黄琼上善若水:

    澶у鏃╀笂濂斤紒

    当前人气:1