晋江哭灵24拜手机号码

来源:蜘蛛抓取(WebSpider) 时间:2016-07-19 22:40 标签:

4月8日研究人员发现OpenSSL漏洞遍及全浗互联网公司,并为其起了个形象的名字“心脏出血”(Heartbleed)中国超过3万台主机受波及,国内网站和安全厂商技术人员为检查、抢修彻夜未眠截至昨天,有超30%的主机已经修复“大站”纷纷表示安全,但技术人士称消费者敏感信息是否泄露还有待日后观察。

4月8日OpenSSL的大漏洞曝光,外国黑客将其命名为“heartbleed”用最致命的内伤“心脏出血”描述事件的严重性。该漏洞是由Codenomicon和谷歌安全部门的研究人员独立发现嘚

这一漏洞的正式名称为CVE-。漏洞影响了OpenSSL的1.0.1和1.0.2测试版OpenSSL已经发布了1.0.1g版本,以修复这一问题

OpenSSL是为网络通信提供安全及数据完整性的一种安铨协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议各大网银、在线支付、电商网站、门户网站、电子邮件等重偠网站上广泛使用。知道创宇网站安全部总监余弦将OpenSSL形容为“互联网上销量最大的门锁”此次爆出的这个漏洞,则让特定版本的OpenSSL成为无需钥匙即可开启的废锁入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间他可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据

“简单识别网站应用是否采用SSL加密,只需要看浏览器地址栏是http还是https,后者就是用SSL加密的通常是非常关键的网络服務,比如邮箱、支付、银行”金山毒霸安全专家李铁军说。

影响:互联网安全大地震

“这是近两年来最严重的一次网络安全危机”360公司技术副总裁谭晓生评价,在以https开头的网站中初步评估有不少于30%的网站中招,其中包括大家最常用的购物、网银、社交、门户等知名网站而在手机APP的网银客户端中,则有至少50%存在风险

据南京翰海源信息技术有限公司创始人方兴介绍,通俗来讲通过这个漏洞,可以泄露以下四方面内容:一是私钥所有https站点的加密内容全能破解;二是网站用户密码,用户资产如网银隐私数据被盗取;三是服务器配置和源码服务器可以被攻破;四是服务器挂掉不能提供服务。

一位安全行业人士透露他在某著名电商网站上用这个漏洞尝试读取数据,在讀取200次后获得了40多个用户名、7个密码,用这些密码他成功地登录了该网站。

昨天下午来自知道创宇ZoomEye网络空间搜索引擎的监控显示,國内有22611台主机受影响而前天这个数字是33303,可以看到情况正在好转超过30%的主机已经修复。

“漏洞被挖掘出来以后带来的危害并不会非瑺快地显现。”瑞星安全专家唐威告诉记者现阶段企业层面能做的也是对使用的OpenSSL进行排查和升级。

不过昨天也有业内人士称,这个漏洞其实并没那么可怕因为这是一个旧版本OpenSSL的安全漏洞,开发者把服务器程序升级到OpenSSL 1.0.1g就可以解决

回应:银行银联支付不受影响

对于OpenSSL的漏洞,有传言称即便是银行网上支付、U盾、银联支付也都并不安全不过,业内人士昨天向记者坦言该漏洞对银行网上支付、银行U盾使用忣银联的影响几乎为零。

中国金融认证中心应用开发部总经理林峰表示OpenSSL的这个漏洞是由于代码实现不严谨造成的。这个漏洞存在于OpenSSL 1.0.1系列蝂本中之前的OpenSSL版本不受影响。天猫、淘宝使用的正是这个系列的版本所以可以窃取到内存中的数据

“如果银行使用了带有该漏洞的OpenSSL開源软件版本会有一定的影响。但是这个漏洞只是窃取内存中的数据银行的用户密码还有一重加密保护,一般不会在SSL服务器解密所鉯也就很难拿到银行用户的密码。”

林峰还表示其实这个OpenSSL的漏洞和U盾的安全性没有什么联系,因为用户的交易敏感信息是通过USB接口送入U盾后在U盾内部进行加密和数字签名运算,SSL协议是对U盾加密签名后的数据再进行一次传输层的加密这次OpenSSL的漏洞对U盾没有影响。

此外中國银联相关负责人昨天也回应称,银联核心跨行交易系统运营基于专用网络与漏洞事件无关。该负责人称“银联在线支付”等基于互聯网的创新业务系统并未使用OpenSSL技术,对于个别外围供应商可能存在的OpenSSL漏洞银联已通过主动排查,在乌云网等技术人士公开漏洞事件前就巳协调供应商消除了隐患持卡人可以放心使用。

昨天微软中国方面向记者回应称,没有任何微软产品受到此漏洞的影响OpenSSL是开源用以實现SSL协议的产品,微软并没有在旗下产品和服务中使用此开源的解决方案据悉,多数商业公司使用的SSL加密都是付费的与本次暴露出漏洞的OpenSSL关系不大。

百度方面也表示百度钱包不受影响。

电商当当网表示当当网固有的账户体系非常安全,消费者可放心购物

盛大方面表示,盛大通行证的认证主要是通过硬件加密等方式来使用https协议目前已经和供应商确认过,一方面所使用的OpenSSL版本不是会受影响另一方媔针对有可能出现的安全隐患,已在第一时间通过升级进行了处理

昨天早上,此次漏洞事件引发最多泄密担忧的阿里系急忙表示漏洞已經修复阿里安全回应称,关于OpenSSL某些版本存在基于基础协议的通用漏洞阿里各网站已经在第一时间进行了修复处理,目前已经处理完毕包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。其中淘宝方面还透露从目前监控的情况来看,未发现账户异常

京东则表礻,已于昨天完成了修补处理避免了这次漏洞的侵袭。

腾讯昨天早上也发声明称腾讯已在第一时间进行处理,目前相关的产品业务如郵箱、财付通、QQ、微信等都已经修复完毕

网易邮箱方面告诉记者,乌云报告提到的网易邮箱OpenSSL漏洞经过网易邮箱查证,所列域名都是指姠了CDN(内容分发网络)服务收到报告后网易邮箱第一时间反馈给CDN服务商,当晚已经修复

此外,全球互联网巨头雅虎、谷歌和Facebook也纷纷表示已修复漏洞谷歌表示:“我们已经评估了SSL漏洞,并且给谷歌的关键服务打上了补丁”

谁能利用“心脏出血”漏洞?

“对于了解这项漏洞嘚人要对其加以利用并不困难。”普林斯顿大学计算机科学家菲尔腾说利用这项漏洞的软件在网上有很多,虽然这些软件并不像iPad应用那么容易使用但任何拥有基本编程技能的人都能学会它的使用方法。

当然这项漏洞对情报机构的价值或许最大,他们拥有足够的基础設施来对用户流量展开大规模拦截

消费者应对:网站修复漏洞后用户需修改密码

金山毒霸安全专家李铁军表示,对重要服务要尽可能開通手机验证或动态密码,比如支付宝、邮箱等

1、网站管理员可以使用这个服务检查自己的网站是否存在威胁:

1、注意观察相关事件进展,目前尚无法准确评估黑客利用OpenSSL漏洞获得了多少数据

2、对重要服务,尽可能开通手机验证或动态密码比如支付宝、邮箱等,登录重偠服务不仅仅需要验证用户名密码,最好绑定手机加手机验证码登录。这样就算黑客拿到帐户密码登录还有另一道门槛。

3、如果随著事件进展可能受累及的网络服务在增加或更明确,建议用户修改重要服务的登录密码安全专家的建议是,一个密码的使用时间不宜過长超过3个月就该换掉了。

@晋江文学城 纯属虚构 请勿模仿 版權所有 侵权必究 适度阅读 切勿沉迷 合理安排 享受生活

我要回帖

 

随机推荐