互联网安全不眠夜:“心脏出血”昨晚(4月8日)是黑客和白帽们的不眠之夜。他们有的在狂欢,逐个进入戒备森严的网站,耐心地收集泄漏数据,拼凑出用户的明文密码;有的在艰苦升级系统,统计漏洞信。 ZoomEye是一套安全分析系统,其工作原理类似Google,会持续抓取全球互联网中的各种服务器,并记录服务器的硬件配置、软件环境等各类指标,生成指纹,定期对比,以此确定该服务器是否存在漏洞或被入侵。在此次“心脏出血”漏洞检测中,余弦给该系统后面加上一个“体检”系统,过滤出使用问题OPenSSL的服务器,即可得出存在安全隐患的服务器规模。 从该系统“体检”结果看,比三万台问题服务器更令人惊心的,是这些服务器的分布:它们有的在银行网银系统中,有的被部署在第三方支付里,有的在大型电商网站,还有的在邮箱、即时通讯系统中。 自这个漏洞被爆出后,全球的骇客与安全专家们展开了竞赛。前者在不停地试探各类服务器,试图从漏洞中抓取到尽量多的用户敏感数据;后者则在争分夺秒地升级系统、弥补漏洞,实在来不及实施的则暂时关闭某些服务。余弦说,这是目前最危险的地方:骇客们已经纷纷出动,一些公司的负责人却还在睡觉。而如果骇客入侵了服务器,受损的远不止公司一个个体,还包括存放于公司数据库的大量用户敏感资料。更为麻烦的是,这个漏洞实际上出现于2012年,至今两年多,谁也不知道是否已经 有骇客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。 问题的应对与新的问题 目前,ZoomEye仍在持续不断地给全球服务器“体检”,这个过程需要20小时左右。相比之下,仅仅给国内服务器体检需要的时间短得多,仅仅需要22分钟;而给那三万多台“带病”服务器重复体检,则只需两分钟。目前,余弦已经将这份名单提交给CNCERT/CC(国家互联网应急中心),由后者进行全国预警。但是,除了移动、联通等这些大型企业外,CNCERT也没有强制力确保其他公司看到预警内容,最后可能还是需要媒体持续曝光一些“带病”服务器,以此倒逼相关公司重视该漏洞。 而在漏洞修补期间,普通消费者与公司均应该采取相关措施规避风险。对于普通用户来说,余弦建议在确认有关网站安全之前,不要使用网银、电子支付和电商购物等功能,以避免用户密码被钻了漏洞的骇客捕获。“一位银行朋友告诉我,他们补上这个漏洞需要两天时间。这两天大家最好就别登录网银了,确认安全后再登。如果已经登录过了,那就考虑换一下密码吧。” 与用户的消极避险不同,相关互联网企业则应该尽快进行主动升级。升级到最新的OpenSSL版本,可以消除掉这一漏洞,这是目前企业最便捷的做法。但在升级后,理论上还应该通知用户更换安全证书(因为漏洞的存在,证书的密钥可能已泄漏),并通知用户尽可能地修改密码。后面这两个措施,企业实施起来会面临很大的代价,也只能通过媒体尽量曝光,让意识到的用户重新下载证书并自行修改密码了。 由于“心脏出血”漏洞的广泛性和隐蔽性,未来几天可能还将会陆续有问题爆出。在互联网飞速发展的今天,一些协议级、基础设施级漏洞的出现,可能会打击人们使用互联网的信心,但客观上也使得问题及时暴露,在发生更大的损失前及时得到弥补。作为身处其中的个人,主动应变、加强自我保护,可能比把安全和未来全部托付出去要负责任一些。 责编:李玉琴  微信扫一扫实时了解行业动态 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
资深技术经理:无线网络设备导致信..
网上邻居九招特殊的应用.doc|
|
