互联网危机公关,舆情处理,网络危机营销策划服务

客服QQ:564686966

24h客户经理:13342992669
首页 > 网络资讯>OpenSSL“心脏出血”漏洞引网络安全危机

OpenSSL“心脏出血”漏洞引网络安全危机

更新时间:2019-09-25 12:50:08 作者:网络新闻 浏览:

  日前,安全公司Codenomicon和谷歌的工程师发现了加密协议OpenSSL的重大安全漏洞,这个名为“Heartbleed(心脏出血)”的年度最严重漏洞一时间成了各大媒体的头条。OpenSSL协议广泛应用于网银、在线支付、电子邮件、电商等重要网站,发现此漏洞的黑客只需坐在电脑前,即可实时获取约30%以https开头网址的用户登录账号密码。可以说,OpenSSL的“心脏出血”再一次把网络安全问题推到了公众面前。

OpenSSL“心脏出血”引发网络安全思考
 
OpenSSL“心脏出血”漏洞


     443端口是OpenSSL的一个常用端口,用于加密网页访问。数据显示,中国境内有1601250台机器使用443端口,其中有33303台受到了本次OpenSSL漏洞的影响。除了443,还有邮件、即时通讯等端口,受影响的范围肯定更广。据360调查,4月7日和8日两天,共有2亿网民访问了含有OpenSSL漏洞的网站。可见,此次事件离我们并不遥远。

    对于大多数普通用户来说,OpenSSL并不是一个很清晰的概念,我们来简单解释一下。SSL是一种较为流行的安全加密技术,可以保护用户在网络上传输的隐私信息。当你在访问一些安全级别较高的网站时,会看到浏览器地址栏有http://或https://,以https://访问的网站就是用SSL加密的,一般是邮件、银行等网站。在后台,通过SSL加密的数据只有接收者才能解密。即使是黑客监听了用户的对话,也只能看到一串随机字符串,无法获悉具体内容。https可以使用TLS或SSL协议,而OpenSSL则是TLS、SSL协议的开源实现,提供开发库和命令行程序。简单来说,基本上所有的https都使用了OpenSSL。

     OpenSSL为什么会“心脏出血”呢?其实根本原因就是基础的安全通信方式出了问题。OpenSSL的“心跳模块”存在一个漏洞,可以让攻击者直接获取服务器上64K内存中的数据内容。用户访问网站的Cookies、SSL私钥、帐号密码、隐私消息等数据都有可能泄露。其实,OpenSSL的“心脏出血”早在2012年就已被发现,只不过在今年4月7号才被正式收录。

    上文提到,黑客可以利用该漏洞攻击服务器的密钥,继而读取到其收到的任何信息,甚至能够利用密钥假冒服务器,欺骗用户泄露密码等敏感信息。这里引用别人举的一个例子,网络服务器就像邮局,每个用户就是写信人和收信人,用户需要拿袋子去邮局取信(收取信件相当于接收数据),这个漏洞就发生在将信件装入袋子的过程中(假定装信的“工作人员”认为把袋子装满是完成任务),正常情况下用户需要装多少信就会拿相匹配的袋子。但是,黑客们本身信件很少,却拿了一个很大的袋子,此时“工作人员”只会埋头继续把袋子填满。如此一来,黑客的袋子里就会有很多别人的东西(用户名账号、密码。邮件),甚至是邮局的钥匙(密钥)。

    当然,邮局的钥匙只有一把,想要拿到并不容易。同时,由于黑客每次只能获取服务器上64KB的数据,而重要信息正好落在这个“片段”的几率并不大,所以用户的信息并不是肯定会被泄露。不过遗憾的是,考虑到每台计算机每秒钟可以执行1-2次攻击,黑客还是可以大面积抓取信息。一名安全行业的人士透露,他在某电商网站上用“心脏出血”漏洞尝试读取数据,在读取了200次后,获得了40多个用户名、7个密码,用这些密码,他成功登录了该网站。

    至此,大家应该已经认识到了OpenSSL漏洞的危害,那么应该如何避免隐私数据被泄露呢?需要说明的是,“心脏出血”漏洞并不涉及普通用户自用的计算机,也就是说用户是无法自行修补该漏洞的,只要你登录了受影响的网站,如果该网站不进行修复,那么你更改的新密码依然会受到威胁。在确认网站安全之前,最好不要使用网银、电子支付和电商购物等功能,以免这段数据正好被黑客捕获。一旦网站公告已经修复了相关漏洞,用户需要立即去修改密码。此外,用户也可以使用手机验证或动态密码,与手机绑定。

    OpenSSL的“Heartbleed”再次唤醒了人们对于网络安全的思考,虽然阿里巴巴、腾讯等公司已经宣布将其修复,不过这些协议级、基础设施级的漏洞还是会让如今的互联网发展多些警惕。
站点地图204
上:危机公关之网络负面删帖为何屡禁不止? 下:返回列表

公共关系

深圳红人网络服务有限公司

公关中心:深圳 南山区 丽山路6-28号

公司总部:深圳 大学城 民企科技园2-508号

大客户经理:(+86)-13342992669

营销热线:400-050-4004

QQ:564686966 邮箱:564686966@qq.com

  • =

微信在线咨询