首页English
  • 时政
  • 国际
  • 时评
  • 理论
  • 文化
  • 科技
  • 教育
  • 经济
  • 生活
  • 法治
  • 军事
  • 卫生
  • 健康
  • 女人
  • 文娱
  • 电视
  • 图片
  • 科普
  • 光明报系
  • 更多>>
  • 报 纸
    杂 志
    光明日报 2014年04月15日 星期二

    互联网“心脏出血”

    信息安全如何保?

    作者:陈晨 《光明日报》( 2014年04月15日 10版)
    CFP

        近日,互联网基础组件OpenSSL爆出严重安全漏洞,这一被命名为“心脏出血”的漏洞,让攻击的黑客、维护网络安全的“白帽子”、修复升级系统版本的互联网公司等纷纷闻“血”而动,网民则在毫不知情的情况下访问着已处于“裸奔”状态的站点。据统计,仅7日、8日期间,就有共计约2亿网友访问了存在OpenSSL漏洞的网站。“心脏出血”是什么样的漏洞?为什么会被称为“近年来最严重的安全漏洞”?互联网时代,网民如何尽量自保安全?

     

    门锁成废锁,“心脏出血”让互联网现伤口

     

        在互联网的世界里,“漏洞”从来都不是一个低曝光率的词,这一次,爆出漏洞的是互联网基础组件OpenSSL。

     

        OpenSSL是什么?“SSL是为网络通信提供安全及数据完整性的一种安全协议,也是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。”360安全专家安扬告诉记者,“OpenSSL是基于SSL的开源免费软件,由于免费和易用,是目前互联网上应用最广泛的安全传输方法。”形象地说,OpenSSL可以看作互联网上销量最大的“门锁”,此次爆出的漏洞,让特定版本的OpenSSL成为无需“钥匙”即可开启的“废锁”。这个漏洞被命名为“心脏出血”。

     

        “心脏出血”是如何影响互联网安全的呢?有专家表示,“心脏出血”是OpenSSL源代码出现的一个漏洞,这个漏洞的本质是内存泄漏。这一漏洞的存在,可以让攻击者获得服务器返回的64KB的内存数据。这部分数据中,可能存有安全证书、用户名与密码、电子邮件以及重要的商业文档等数据。虽然攻击者每次只能翻检64KB大小的信息,但只要他有足够的耐心和时间,就能找出足够多的数据以拼凑完整的数据信息。

     

        在国家信息安全漏洞共享平台(CNVD)上,该漏洞的综合评级为“高危”。由CNVD组织完成的多个测试实例表明,根据对应OpenSSL服务器承载业务类型,攻击者一般可获得用户实时连接的用户账号密码、会话Cookies等敏感信息,进一步可直接取得相关用户权限,窃取私密数据或执行非授权操作。一位安全行业人士亲自验证后透露,他在某著名电商网站用“心脏出血”漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功登录了该网站。

     

        360安全专家石晓虹表示,此次OpenSSL漏洞堪称“网络核弹”,很多隐私信息都存储在网站服务器的内存中,无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。

     

        安扬表示,OpenSSL漏洞风险极高,不仅普通网民受到影响,而且很多核心机构和各大公司集团也正在遭遇一场信息安全危机。

     

        然而,尽管多数人认为此次漏洞危害严重,但也有不同的声音传来。在广东井田云科技有限公司首席架构设计师何渐兴看来,“心脏出血”漏洞有被夸大的嫌疑,网民不必过分担心。但他同时也表示,网络安全无小事,各网站运营商应第一时间堵上漏洞。

     

    安全危机或持续蔓延,网民如何自保?

     

        据统计,仅7日、8日,就有共计约2亿网友访问了存在OpenSSL漏洞的网站,但其中有多少人被盗取信息仍是未知数。事实上,该款缺陷软件自2012年3月推出至今已两年有余,黑客是否已利用漏洞获取用户资料尚无从得知。根据权威网络空间搜索引擎Zoomeye系统扫描,我国全境至少有33303台服务器受此次漏洞影响,覆盖从消费到通讯、社交等众多国内知名网站。

     

        许多“中招”网站发现漏洞后也纷纷采取紧急措施,据360公司4月11日发布的监测数据显示,71.9%的网站已修复该漏洞。

     

        尽管修复工作仍在持续进行,但“心脏出血”的影响或许并不会就此结束。安全专家提醒,虽然登录重要网站被黑客直接抓取密码的风险目前来看已经不大,但对电脑软件、手机APP、VPN、邮件系统、网络设备等其他受影响的互联网产品和服务来说,此次漏洞造成的内伤很难短期内完全恢复。毕竟,抓密码只是表面危害,对于黑客高手来说,利用此漏洞对核心机构和各大企业实施入侵渗透才是最大的威胁,甚至影响国家信息安全。

     

        而对普通网民来说,从该漏洞曝光到网站修复漏洞的这段时间内,已有黑客利用“心脏出血”漏洞进行攻击,有些网站用户信息或许已被黑客获取。安扬认为,接下来,不法黑客可能会利用其获取到的信息,进行欺诈等攻击。因此,随后较长的一段时间内,网民应格外注意账号安全,并谨防各种盗用身份的诈骗信息。

     

        网民该如何在这样一场还在持续流淌的“心脏出血”影响中自保?石晓虹建议,用户在确认相关网站升级修复前,尽量避免登入账号,更不要登录网银及其他支付类的接口账户;对于一些已完成修复升级的网站,用户则应当尽快登录网站更改密码等重要信息。

     

        事实上,抛开这次的“心脏漏洞”,互联网的安全风险是长期存在的,网民应建立良好的安全习惯。对此,安扬建议网民,重要账号单独设置高强度的密码,并定期修改密码;网页浏览完删除cookies,以清除储存在用户本地终端上的数据;不随意点击陌生人发布的链接,不接受运行来历不明的文件;电脑和手机开启安全软件保护,及时修复漏洞。(本报记者 陈 晨)

     

    光明日报
    中华读书报
    文摘报
    出版社
    考试
    博览群书
    书摘

    光明日报社概况 | 关于光明网 | 报网动态 | 联系我们 | 法律声明 | 光明网邮箱 | 网站地图

    光明日报版权所有