从2001年8月24日正式发布到今天,XP陪着许多人走过了十三年的岁月风雨,不管是在操作系统还是软件行业,这是一款伟大的产品,都是我们这个时代的额福利。在WindowsXP停服的同一天,网络安全协议OpenSSL曝出安全漏洞,危及全球包括银行、电商在内关键部门和普通用户财产和信息安全。这一漏洞一旦被恶意利用,意味着用户登录电商、网银的账户、密码等关键信息可能会泄露,造成财产损失。
波及无数
中国3万多端口受影响
4月8日,在全球范围内,互联网发生了两件大事,分别是:微软正式宣布XP停止服务退役;OpenSSL的大漏洞曝光。如果说XP停服存隐忧的话,那么第二件事带来的威胁则近在咫尺,用户的信息安全和财产安全已直接受到威胁。
ZoomEye最新完成的扫描数据显示,中国160万个443端口中,已有3.3万个受本次OpenSSL漏洞影响。在国外,受到波及的网站也数不胜数,连NASA(美国航空航天局)也已宣布,用户数据库遭泄露。
安天实验室首席架构师肖新光发出警告说,“这一次,狼真的来了”。
谁受影响
以https开头所有站点
一位安全行业人士透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
北京知道创宇信息技术有限公司研究部总监钟晨鸣表示,此次漏洞会影响为数众多的使用https的网站,其中包括公众熟知并且经常访问的微信、淘宝、各个网银、社交、门户等知名网站还有邮箱。而且越是知名的大网站,越容易受到不法分子利用漏洞进行攻击。
据介绍,这一漏洞由安全公司Codenomicon和谷歌安全工程师独立发现。发现者们给这个漏洞起了个形象的名字:heartbleed——心脏出血。
“这个漏洞是地震级别的。”中国计算机学会信息安全专业委员会主任严明说,目前受害的用户具体数字还难以知晓,要到过后才能统计出来。“打个形象的比喻,就像家里的门很坚固也锁好了,但是发现窗户虚掩着。”
存在两年
损失多大无法确认
这一漏洞被曝出后,全球的“黑客”与安全保卫者们展开了竞赛。“黑客”不停地试探各类服务器,试图从漏洞中抓取到尽量多的用户数据;安全保卫者则在尽可能短的时间里升级系统、弥补漏洞,实在来不及实施的则暂时关闭某些服务。
然而,很多受到该漏洞威胁的公司并未认识到问题的严重性。北京知道创宇信息技术有限公司持续监测发现,一些机构升级了OpenSSL,如360、百度等;一些选择暂停SSL服务,仍继续使用其主要功能,如微信;有的为规避风险,干脆暂停网站全部服务;更有一部分根本未采取任何措施。
钟晨鸣说,这个漏洞实际上出现于2012年,至今两年多,谁也不知道是否已经有黑客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。
亟待反思
国家级应急响应不力
中国科学院相关专业人士指出,这是考验中国互联网系统应急能力的重要时刻。但从目前反应情况来看,我国重大安全事件的紧急处置及联动机制还不够健全。国家应急中心直到9日才开始联动。
该中心一名专家坦陈,从2003年,国家应急中心就试图建立漏洞触发的相关应急工作和能力,但是这一领域的工作到现在也不够清晰,需要新的能力架构设计。“纯事件触发有时太晚太被动,2001年至2004年有很多教训,技术上存在适当前移的可能。”
“当前最为紧急的事情,是减少损失范围。”严明说,对于政府职能部门,目前公安或者其他相关部门应当立即启动应急措施,促进通报漏洞信息,并强制推动所有受到漏洞影响的网站进行技术升级和修补。在这一阶段完成后,再对那些出现了财产侵占的非法行为进行查处追责。对于企业而言,则要第一时间作出反应,修补自身漏洞,比如该漏洞8日被公布,一些企业到了9日才开始补救,一些甚至还无动于衷。
“心脏出血”四大恶果
一是私钥,所有https站点的加密内容全能破解;
二是网站用户密码,用户资产如网银隐私数据被盗取;
三是服务器配置和源码,服务器可以被攻破;
四是服务器“挂掉”不能提供服务。
专家建议
暂停网购 别用网银
对于普通用户,安全领域专家建议,近日在相关网站升级修复前,建议暂且不要登录网购、网银账户,尤其是对那些没有明确采取补救措施的网站,更应该谨慎避免泄密风险。在网站完成修复升级后,及时修改密码,避免引发次生危害。
新闻名词
什么是OpenSSL
openssl是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。
openssl有什么用
基本功能
OpenSSL整个软件包大概可以分成三个主要的功能部分:密码算法库、SSL协议库以及应用程序。OpenSSL的目录结构自然也是围绕这三个功能部分进行规划的。
作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。
辅助功能
BIO机制是OpenSSL提供的一种高层IO接口,该接口封装了几乎所有类型的IO接口,如内存访问、文件访问以及Socket等。这使得代码的重用性大幅度提高,OpenSSL提供API的复杂性也降低了很多。
OpenSSL对于随机数的生成和管理也提供了一整套的解决方法和支持API函数。随机数的好坏是决定一个密钥是否安全的重要前提。
OpenSSL还提供了其它的一些辅助功能,如从口令生成密钥的API,证书签发和管理中的配置文件机制等等。如果你有足够的耐心,将会在深入使用OpenSSL的过程慢慢发现很多这样的小功能,让你不断有新的惊喜。
更多关于OpenSSL漏洞消息请关注甩手网电商行业资讯(www.shuaishou.com )