, I7 @/ M0 h! N: q; Q& U淘宝,京东。。银联。。12306.。。。。 ' I! A$ W8 ]# Q( B! F* z8 f 5 ^8 _2 X" W, c$ ?1 ^9 z亲。。改密码了没? H" G# L h6 }4 n ?0 L, m- D) h( u7 v
3 ^5 M6 e. R0 B- n A0 s+ H
------------------------------------------------------------------------------------------------------------------------------------------------------------------ $ e. c$ Y* W6 A0 [/ H3 {" g# f$ n昨晚(4月8日)是黑客和白帽们的不眠之夜。他们有的在狂欢,逐个进入戒备森严的网站,耐心地收集泄漏数据,拼凑出用户的明文密码;有的在艰苦升级系统,统计漏洞信息,还要准备说服客户的说辞,让他们意识到问题的严重性;当然还有淼叔这样看热闹不嫌事大的,拼命恶补安全常识、寻找专家采访,试图记录这历史性的一夜。" h, J, c# g3 t5 L; D
8 L0 P5 ` b" B. F3 f# Y这一夜,互联网门户洞开。; ~' i. @+ N+ y: ?: |
/ y1 G* j2 u* I
基础安全协议“心脏出血” & C7 |" {9 Y6 [8 T/ X8 N2 V+ _4 z$ W6 I. A+ I& b$ K
北京知道创宇公司的余弦守在电脑屏幕前彻夜未眠。作为一家高速发展的安全企业研究部总监,余弦在国内黑客圈资历颇深。他向淼叔介绍了这次事件的起源。该漏洞是由安全公司Codenomicon和谷歌安全工程师发现的,并提交给相关管理机构,随后官方很快发布了漏洞的修复方案。4月7号,程序员Sean Cassidy则在自己的博客上详细描述了这个漏洞的机制。, i. r6 F+ m3 p7 B
* _8 P0 Z: R% h# ^4 ?
他披露,OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。' q1 Z/ O$ |8 K- s3 B
% l% t4 e2 f1 mOpenSSL是目前互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。可以近似地说,它是互联网上销量最大的门锁。而Sean爆出的这个漏洞,则让特定版本的OpenSSL成为无需钥匙即可开启的废锁;入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据;假如户主不幸是一个开商店的或开银行的,那么在他这里买东西、存钱的用户,其个人最敏感的数据也可能被入侵者获取。, w* M7 G, d$ ^$ \; {1 x, H0 h
# A! F+ u' A; J' a* n
一位安全行业人士在知乎上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。( o" p; [" N0 h( U: x$ k6 e4 i
! J# R/ G- t) s( j5 S; t0 {
发现者们给这个漏洞起了个形象的名字:heartbleed,心脏出血。这一夜,互联网的安全核心,开始滴血。5 |7 E0 {! E2 \* V5 \/ ]
, d' G! z4 J* v& x& z
中国有至少三万台机器“带病”# A* q) A3 d ^( w3 I( q: P- C
4 m' A6 ^. L' e" y/ u D) k% X一些安全研究者认为,这个漏洞影响可能没有那么大,因为受漏洞影响的OpenSSL 1.01系列版本,在互联网上部署并不广泛。 5 V( d m$ l8 R5 f% k H 5 t' M/ N+ }4 ]7 C- O# E M国内老资格的安全工作者、安天实验室首席架构师江海客不认同这种说法。他在微博上预警:“这一次,狼真的来了”。8 c" o. E- X3 `. \! F6 t& M
4 r3 s+ p3 c! l. V Y而在漏洞修补期间,普通消费者与公司均应该采取相关措施规避风险。对于普通用户来说,余弦建议在确认有关网站安全之前,不要使用网银、电子支付和电商购物等功能,以避免用户密码被钻了漏洞的骇客捕获。“一位银行朋友告诉我,他们补上这个漏洞需要两天时间。这两天大家最好就别登录网银了,确认安全后再登。如果已经登录过了,那就考虑换一下密码吧。” ) A/ P! X& S# S3 ]. c, Z 1 N! d: _, d' ^( x( }与用户的消极避险不同,相关互联网企业则应该尽快进行主动升级。升级到最新的OpenSSL版本,可以消除掉这一漏洞,这是目前企业最便捷的做法。但在升级后,理论上还应该通知用户更换安全证书(因为漏洞的存在,证书的密钥可能已泄漏),并通知用户尽可能地修改密码。后面这两个措施,企业实施起来会面临很大的代价,也只能通过媒体尽量曝光,让意识到的用户重新下载证书并自行修改密码了。1 T# g. B6 N: b9 U6 M. D* r
0 p+ K$ X2 g6 ^$ S+ M由于“心脏出血”漏洞的广泛性和隐蔽性,未来几天可能还将会陆续有问题爆出。在互联网飞速发展的今天,一些协议级、基础设施级漏洞的出现,可能会打击人们使用互联网的信心,但客观上也使得问题及时暴露,在发生更大的损失前及时得到弥补。作为身处其中的个人,主动应变、加强自我保护,可能比把安全和未来全部托付出去要负责任一些。 1 y. _! ?5 K. U9 d' `+ @' J: I# J7 \! p- K: v& B2 S1 D( x, f2 w- b
发表于 2014-4-9 09:16:59
发表于 2014-4-9 13:48:26
要去银行改密码么
发表于 2014-4-9 10:35:07
发表于 2014-4-9 10:40:10
楼主
