央廣網北京4月9日消息 據中國之聲《新聞晚高峰》報道,為了不讓賬戶信息、密碼被別人盜取,我們常常會使用秘鑰等方式,讓我們的安全能夠有所保障,但現在,如果有人告訴你,你的秘鑰其實早已被壞人掌握,用了秘鑰等於將你的信息直接告訴了壞人,這就像你背靠著城牆與敵人戰鬥,突然,牆垮了,你會怎麼做?
  昨天,許多網站使用的OpenSSL安全協議這堵牆,垮了,某國外安全公司發佈報告稱, OpenSSL的漏洞,可能導致大量隱藏數據被盜取。另據谷歌研究人員透露,這種漏洞存在已有兩年之久。三分之二的活躍網站均在使用這種存在缺陷的加密協議。
  究竟什麼是OpenSSL?瞭望智庫TMT研究總監王雲輝介紹,如果用專業的表述,OpenSSL是為網絡通信提供安全及數據完整性的一種安全協議,實現網絡通信的高強度加密,目前正在各大網銀、在線支付、電商網站、門戶網站、電子郵件等重要網站上廣泛使用。
  王雲輝:它相當於網絡安全加密的一個協議,用戶和用戶之間傳遞信息如果不加密的話可能被人在網絡上竊聽,所以大家會對它進行加密再進行傳送,它屬於協議的一種。
  然而,這個高強度加密的安全鎖實際卻存在問題,近日被國外某安全公司和谷歌安全工程師發現,並提交給相關管理機構,隨後官方很快發佈了漏洞的修複方案,直到昨天被披露。
  那麼這次OpenSSL漏洞,具體會泄漏什麼東西?不願透露姓名的白帽黑客“雷克薩”在接受採訪時說,這就相當於郵局會把我們的信件發給別人一樣。
  雷克薩:假如網絡服務器是郵局,每一個用戶就是我們的寫信人和收件人。我們從網上獲取數據,就相當於是收取我們的信件,自己拿一個袋子到郵局去收取,這個漏洞則發生在郵局跟工作人員。只要袋子有多大,它就會裝多少信件,如果一個人他擁有的信件本來就很少,但是他卻給郵局一個很大的袋子,這個時候郵局的工作人員就會鬼使神差的把別人的信件也裝進了袋子,攻擊者就可以利用這個方法看到其他人的信件。這裡面可能包含一些敏感內容,像一些用戶名、密碼,銀行帳戶等等,但是在實際當中袋子大小是有限制的,所以每次裝回來的信件是有限的。因為袋子裝進去信件是隨機的,所以說看到有價值的信息概率還是有待考量。即使說這個概率再小,它已經超出我們定義的安全概率的範圍,所以是相當危險的。
  直白一點的解釋,比如我是黑客,想偷子文的淘寶用戶名、密碼,通過OpenSSL漏洞,是不行的,我只能偷到隨機某幾個人的數據。但這樣我也是有利可圖的。
  知名IT觀察員洪波:它可能會讀取仍然保存在網站服務器內存當中的用戶的信用卡數據,包括支付密碼的數據等等,如果是沒有保存在服務器的內存當中,沒有問題。所以如果你現在還在使用這種沒有經過修補的安全登錄服務,那麼就有可能信息會被泄露。
  據介紹,國內大概33000多台服務器都受到這個漏洞的影響,國際來說,有71萬台主機被侵襲。大家所熟悉的很多網站都受到了影響,包括支付寶、淘寶、微信公眾號、YY語音、陌陌、雅虎郵件、網銀、門戶等各種網站,基本上都中了槍。王雲輝將這一漏洞在整個互聯網中的影響比喻為核彈級。
  王雲輝:就像人的身體一樣,比如說磕了碰了打個繃帶就好了,但是這次的漏洞過去它本身是一個高度安全的協議,就好像人體的免疫系統一樣,它是保證你這個人不生病的,但是現在它自己出了問題,而過去他是在整個安全協議里是比較安全的。所以它的應用非常廣泛,從網站、到客戶端、到很多交互性的網絡信息傳輸中都在用它,就好像人體的免疫系統出了問題。
  正如黑客給這一漏洞起的名字一樣——heart bleed,心臟出血。漏洞被披露後,昨晚,互聯網的安全核心,開始滴血。網站們開始緊急預警和修複升級,安全公司忙著測試漏洞影響,而駭客們,則抓緊時間開始狂歡,以這個漏洞為武器,向自己久攻不下的網站發起攻擊;不懂技術的小黑客們,也如同大戰場邊緣的游勇,利用漏洞四下劫掠。  (原標題:OpenSSL重大缺陷已存在兩年 危及支付寶等多家網站)
創作者介紹

官恩娜

it37iticxs 發表在 痞客邦 PIXNET 留言(0) 人氣()