“心脏出血”这个有些惊悚的词,成了今天(9日)互联网上最热的新词。
一个代号“Heartbleed”(直译为“心脏出血”)的重大安全漏洞日前曝光,它能让攻击者从服务器内存中读取包括用户名、密码和信用卡号等隐私信息在内的数据。
昨晚,记者辗转采访到了这一漏洞的独立发现者——来自芬兰的Codenomicon(科诺康)公司。其负责人介绍,互联网安全的“攻”“防”双方正展开时间赛跑,黑客试图大量嗅探和盗取信息,而白帽黑客则连夜负责修复漏洞。
“心脏出血”漏洞造“核弹级”影响
“邮件、数据传输、网银支付等多个领域都被殃及,因此该漏洞可谓是核弹级的。”昨晚,科诺康公司上海办事处的办公区域依旧灯火通明。自从发现并协助修复这一漏洞以来,科诺康全球分支机构均处于这样的忙碌状态。
该公司的通告显示,目前已经有将66%的互联网暴露于攻击之下。据悉,SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。当用户访问Gmail.com等安全网站时,就会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。
这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。如果不法分子监听了用户的对话,也只能看到一串随机字符串,而无法了解电子邮件、Facebook帖子、信用卡账号或其他隐私信息的具体内容。
目前,多数SSL加密的网站都使用名为OpenSSL的开源软件包。然而,本周一研究人员却宣布这款软件存在严重漏洞,可能导致用户的通讯信息暴露给监听者。
“黑帽”、“白帽”在和时间赛跑
漏洞尚未全部修复,为何会泄露出来?科诺康公司称,上周其技术团队使用先进的测试产品DefensicsSafeGuard新功能发现了OpenSSL高危零日漏洞,并命名为“心脏出血”。所谓高危零日漏洞,是指该漏洞危害大,且首次被发现。
随后,该漏洞被上报芬兰的计算机安全应急响应组(CERT-FI)。该组织专门处理计算机网络安全问题,世界各国均有类似的组织。按正常流程,CERT会联系各国相关机构,通知客户及时修复该漏洞,这一过程会秘密进行。
然而,由于得到通知的部分客户在自己解决问题后将该问题披露在Blog上,导致该问题被过早的暴露在公众视界。
随后,专注破坏和攻击的“黑帽黑客”如获至宝,加紧利用该漏洞嗅探并攫取散布在互联网上的隐私信息。而专注防守的“白帽黑客”则夜以继日的展开修复。
建议:最近几天不要录入敏感信息
上海市信息安全行业协会副秘书长王怀宾表示,“心脏出血”可以说是近几年来最严重的漏洞,有业内机构预估全球有71万台设备可能存在隐患。
不幸的是,如果访问了受影响的网站,用户无法采取任何自保措施。受影响的网站的管理员需要升级软件,才能为用户提供适当的保护。
“作为用户个人几乎无能为力。”王怀宾建议用户近期减少网上支付动作,避免密码等重要信息泄露。“当然,如果有网银U盾或者手机动态密码的话,安全还是有保障的。”
另据科诺康公司透露,大的互联网企业反应迅速,已经纷纷修复漏洞,但可能还有很多中小网站还没有意识到这一问题。
记者查询多家公司官网发现,雅虎、谷歌、Facebook、支付宝等知名互联网企业已纷纷申明,修复了该漏洞。
文汇报记者 王翔
友情链接 |
国家互联网信息办公室 | 上海静安 | 上海秀群 |