網(wǎng)絡(luò)營(yíng)銷經(jīng)濟(jì)互聯(lián)網(wǎng)上應(yīng)用最廣門鎖爆出嚴(yán)重安全漏洞

1、“4月8日是黑客和白帽子們的不眠之夜?！庇腥诉@樣形容。早上還在討論WIN XP停止服務(wù)，到晚上已到處是OpenSSL的漏洞消息。 OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，在各大網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等廣泛使用。就是這個(gè)被許多企業(yè)和服務(wù)商用來(lái)加密數(shù)據(jù)的安全協(xié)議，爆出了本年度最嚴(yán)重的安全漏洞黑客可以利用這個(gè)漏洞從服務(wù)器內(nèi)存中竊取64KB數(shù)據(jù)，64KB數(shù)據(jù)量并不大，但黑客可以重復(fù)利用該漏洞，多次竊取數(shù)據(jù)，并可能因此獲得用戶的加密密鑰，解密敏感數(shù)據(jù)。 打個(gè)比方，OpenSSL是目前互聯(lián)網(wǎng)上應(yīng)用最廣“門鎖”，而這個(gè)漏洞讓特定版本的OpenSSL成了不設(shè)防的城市

2、主要食品平均價(jià)格顯示，12月份以來(lái)蔬菜價(jià)格明顯上漲，而食用油價(jià)則持續(xù)小幅回。保險(xiǎn)箱。 驚現(xiàn)安全漏洞 “(這個(gè)消息)我們最初是在海外論壇上看到的，很快傳回了國(guó)內(nèi)?！苯鹕绞紫踩珜＜依铊F軍說(shuō)，4月7日(美國(guó)當(dāng)?shù)貢r(shí)間)有黑客公布了舊版本OpenSSL的安全漏洞，“因?yàn)槁┒礄C(jī)制描述得非常詳細(xì)，很快就在圈內(nèi)傳開了?！?漏洞的發(fā)布在一個(gè)相當(dāng)危險(xiǎn)的時(shí)間點(diǎn)黑客們已經(jīng)紛紛出動(dòng)，而一些公司的負(fù)責(zé)人卻正在睡覺。發(fā)現(xiàn)者們給這個(gè)漏洞起了個(gè)相當(dāng)形象的名字“heartbleed”，直譯為“心臟出血”。這一夜，互聯(lián)網(wǎng)的安全核心，開始滴血。 黑客、白帽子們、運(yùn)維主管、安全廠商們，聞著“血”而動(dòng)：他們有的開始狂歡，逐一進(jìn)入戒備森

3、嚴(yán)的網(wǎng)站，收集泄露數(shù)據(jù)；有的開始測(cè)試有多少網(wǎng)站受到影響以及推出檢測(cè)腳本；有的在統(tǒng)計(jì)漏洞信息，還要準(zhǔn)備說(shuō)服客戶，解釋問題的嚴(yán)重性；有的連夜開始緊急預(yù)警修復(fù)升級(jí)系統(tǒng)版本；WooYun漏洞平臺(tái)上很多白帽子開始對(duì)大范圍網(wǎng)站進(jìn)行了測(cè)試刷分，場(chǎng)面頗為壯觀而普通網(wǎng)民們卻毫不知情。 “很快，甚至有黑客發(fā)布了舊版本OpenSSL的傻瓜攻擊?！崩铊F軍解釋說(shuō)，這意味著非專業(yè)技術(shù)人員只要依樣畫葫蘆就能利用漏洞從服務(wù)器內(nèi)竊取數(shù)據(jù)。 “收到這個(gè)漏洞后我們最先測(cè)試了支付寶，確認(rèn)存在此漏洞，發(fā)起檢測(cè)。之后我們又發(fā)現(xiàn)雅虎門戶主頁(yè)、微信公眾號(hào)、微信網(wǎng)頁(yè)版、YY語(yǔ)言、淘寶、網(wǎng)銀、陌陌、社交、門戶網(wǎng)站存在此漏洞?！本W(wǎng)友Evi1m0在

4、知乎上透露，“在一個(gè)社交網(wǎng)站中我獲取到了用戶登錄的帳號(hào)以及密碼甚至是安全問題與答案。這里的密碼使用的明文傳輸，以至于通過這樣的漏洞攻擊，我成功地登錄了上百個(gè)賬戶，當(dāng)然我什么都沒做，出于測(cè)試而已?！?國(guó)內(nèi)知名網(wǎng)站幾無(wú)幸免 目前支付寶、淘寶已修復(fù)漏洞 這個(gè)漏洞影響究竟有多大？安全專家們不約而同地推薦參考zoomeye(鐘馗之眼)的掃描數(shù)據(jù)，這是一個(gè)網(wǎng)絡(luò)空間搜索引擎，業(yè)界公認(rèn)的權(quán)威。根據(jù)zoomeye系統(tǒng)掃描，中國(guó)全境至少有33303臺(tái)服務(wù)器受本次OpenSSL漏洞影響。網(wǎng)易、微信、QQ郵箱、陌陌、雅虎、比特幣中國(guó)、支付寶、知乎、淘寶網(wǎng)、360應(yīng)用、京東、YY語(yǔ)言從消費(fèi)到通訊、社交，國(guó)內(nèi)知名網(wǎng)站幾乎

5、無(wú)一幸免。而很多用戶毫不知情，仍然在訪問著老虎嘴中的站點(diǎn)。 幸好，官方很快發(fā)布了漏洞的修復(fù)方案：因?yàn)檫@是一個(gè)舊版本OpenSSL的安全漏洞，開發(fā)者把服務(wù)器程序升級(jí)到OpenSSL1.0.1g可以解決。 “目前騰訊幾大產(chǎn)品線已經(jīng)都升級(jí)修復(fù)了，而且反復(fù)進(jìn)行了掃描，確保漏洞已經(jīng)被修復(fù)?！彬v訊相關(guān)負(fù)責(zé)人表示，在騰訊相關(guān)的產(chǎn)品業(yè)務(wù)如郵箱、財(cái)付通、QQ、微信等都已經(jīng)可以放心使用。 “阿里旗下網(wǎng)站已經(jīng)都沒有問題了?！卑⒗锛瘓F(tuán)相關(guān)負(fù)責(zé)人也表示，技術(shù)部門一得到漏洞消息就連夜進(jìn)行了版本升級(jí)，修復(fù)了漏洞。目前支付寶、淘寶、天貓都可以正常使用。 截止記者發(fā)稿時(shí)，包括支付寶、淘寶、微信、QQ平臺(tái)、網(wǎng)易、12306鐵路客

6、戶服務(wù)中心等在內(nèi)大型網(wǎng)站已修復(fù)漏洞。 應(yīng)對(duì)未知風(fēng)險(xiǎn) 安全專家給出兩條建議 互聯(lián)網(wǎng)門戶洞開的“驚魂一夜”過去了，從開始到基本結(jié)束，絕大多數(shù)網(wǎng)友都一無(wú)所知。 我們安全了嗎？ 從zoomeye系統(tǒng)的掃描結(jié)果看，比33303臺(tái)服務(wù)器受漏洞影響更讓人擔(dān)心的是：這些服務(wù)器有的在銀行網(wǎng)銀系統(tǒng)中；有的部署在第三方支付里；有的在大型電商網(wǎng)站；有的在網(wǎng)絡(luò)郵箱、即時(shí)通訊系統(tǒng)中 “特別是現(xiàn)在互聯(lián)網(wǎng)金融和第三方支付的發(fā)展非常迅速，這意味著以前用銀行卡、POS機(jī)進(jìn)行的交易都將逐漸轉(zhuǎn)移到互聯(lián)網(wǎng)上，這對(duì)網(wǎng)絡(luò)安全提出了越來(lái)越高的要求?！崩铊F軍坦承比用戶端更不可控的是服務(wù)端，如果黑客入侵了服務(wù)器，受損的遠(yuǎn)不止公司一個(gè)個(gè)體，還包括

7、存放于公司數(shù)據(jù)庫(kù)的大量用戶敏感資料。 “這個(gè)漏洞據(jù)說(shuō)早在2012年就被挖掘出來(lái)，直到昨天CVE納入編號(hào)CVE-2014-0160，8號(hào)才正式爆發(fā)?！盓vi1m0也在知乎上透露，“使用HTTPS的網(wǎng)站大多是因?yàn)閿?shù)據(jù)需加密防止嗅探等攻擊的發(fā)生，漏洞爆發(fā)后徹底將這層大門打破，于是很多網(wǎng)站處于被監(jiān)聽的狀態(tài)中。” 兩年多時(shí)間，誰(shuí)也不知道是否已經(jīng)有黑客利用漏洞獲取了用戶資料；而且由于該漏洞即使被入侵也不會(huì)在服務(wù)器日志中留下痕跡，所以目前還沒有辦法確認(rèn)哪些服務(wù)器被入侵，也就沒法定位損失、確認(rèn)泄漏信息，從而通知用戶進(jìn)行補(bǔ)救。 “最近兩天不要登錄未修復(fù)的服務(wù)器，以免自投羅網(wǎng)，即使想要修改用戶名或密碼也等幾天再改

8、?！睅孜话踩珜＜医o出的建議都很一致。因?yàn)樽罱鼛滋炀W(wǎng)友登錄一些關(guān)鍵服務(wù)網(wǎng)站，若網(wǎng)站未完成漏洞修復(fù)，登錄信息就可能被黑客遠(yuǎn)程捕獲。 盡管zoomeye的掃描結(jié)果及涉及名單已經(jīng)被提交給國(guó)家互聯(lián)網(wǎng)應(yīng)急中心，按照流程應(yīng)由后者進(jìn)行全國(guó)預(yù)警，但截止記者發(fā)稿時(shí)，在國(guó)家互聯(lián)網(wǎng)應(yīng)急中心官網(wǎng)上尚無(wú)相關(guān)信息發(fā)布。 事實(shí)上，除了移動(dòng)、聯(lián)通等這些大型企業(yè)外，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心也沒有強(qiáng)制力確保其他公司看到預(yù)警內(nèi)容，舊版本OpenSSL的安全漏洞修復(fù)時(shí)間是個(gè)不確定值。 對(duì)于普通用戶怎么辦呢？除了在確認(rèn)有關(guān)網(wǎng)站安全之前，不要使用網(wǎng)銀、電子支付和電商購(gòu)物等功能，以避免用戶密碼被漏洞后的黑客捕獲外。 安全專家們給出了兩條建議：一是對(duì)重要服務(wù)，盡可能開通手機(jī)驗(yàn)證或動(dòng)態(tài)密碼，比如支付寶、郵箱等。登錄重要服務(wù)，不僅僅需要驗(yàn)證用戶名密碼，最好綁定手機(jī)，加手機(jī)驗(yàn)證碼登錄。這樣就算黑客拿到賬戶密筆趣閣 H6M9碼，登錄還有另一道門檻。二是如果隨著事