“心臟出血”來襲 普通的我們能做些啥231
4月14日 最近“心臟出血”這個名詞沖上了諸多媒體的頭條,中央電視臺的新聞1+1節(jié)目專門做了一期關于“心臟出血”的詳細報道,一時間在網(wǎng)民之間引發(fā)恐慌。雖然絕大多數(shù)的人對“心臟出血”的技術原理并不清楚,更多來源是來自于煤體的介紹,恐慌的根因是因為自己所有隱私包括登陸網(wǎng)站的用戶名/密碼,網(wǎng)上銀行帳戶/密碼等可能都將變得不安全。“心臟出血”的原名叫“Heartbleed bug”,也有人叫“擊穿心臟”,是來自OpenSSL的緊急安全漏洞警告。采用這樣的名字也是為了說明這個漏洞的嚴重性,因為“心臟出血”已經(jīng)被認為是互聯(lián)網(wǎng)歷史上最為嚴重的網(wǎng)絡安全漏洞。OpenSSL是一個強大的安全套接自層密碼庫,是一種開源軟件包,囊括了主要的密碼算法、常用的密碼和證書封裝管理功能以及SSL協(xié)議,是一種網(wǎng)絡加密安全協(xié)議,在各大網(wǎng)銀、在線支付、網(wǎng)站、電子郵箱、網(wǎng)絡設備加密等方面有著廣泛使用。這次“心臟出血”是OpenSSL存在的一個軟件BUG,當攻擊者構造一個特殊的數(shù)據(jù)包,滿足用戶心跳包中無法提供足夠多的數(shù)據(jù)就會導致Memcpy把 SSLv3記錄之后的數(shù)據(jù)直接輸出,這樣攻擊者可以遠程讀取服務器內(nèi)存中長達64K的數(shù)據(jù),這個數(shù)據(jù)獲取到的是隨機的,不一定是隱私信息,所以只有反復獲取才能拿到自己想要的數(shù)據(jù)。這個軟件BUG在OpenSSL兩年前發(fā)布的軟件版本中已經(jīng)存在了,使用OpenSSL新版本的服務器和網(wǎng)絡設備都存在這個問題。 在4月9日“心臟出血”爆出以來,各大網(wǎng)站、電商、銀行就開始對涉及BUG的服務器進行修復,而廣大的網(wǎng)民除了擔心還是擔心,束手無策。其實,“心臟出血”的確問題嚴重,但也不至于如此,更多的還是來自安全廠商和媒體的過度宣揚,安全廠商這樣做無非是人為制造恐慌氣氛,達到推廣安全產(chǎn)品的目的,這是一次推廣自己產(chǎn)品的好機會,而媒體更是通過大肆報道主要目的是為了吸引眼球,這樣人為制造緊張氣氛,增加受關注的程度。實際上,幾乎天天都會出現(xiàn)一些系統(tǒng)安全漏洞,在網(wǎng)絡運營企業(yè)基本都形成了發(fā)現(xiàn)漏洞、系統(tǒng)升級、補丁修補等一系列完整的流程,經(jīng)常要進行漏洞的修補。當發(fā)現(xiàn)漏洞時第一時間進行修復,消除影響?!靶呐K出血”只是影響面更廣一些,涉及到銀行帳戶、密碼等敏感數(shù)據(jù)的泄露。但也不是知道這個漏洞就一定有能力來獲取到數(shù)據(jù),這要求利用漏洞的人要具備較深的技術水平才能從泄露的數(shù)據(jù)中獲取到隱私數(shù)據(jù)。OpenSSL的漏洞已經(jīng)存在了兩年,直到今天才被公布,從這兩年的時間看并沒有大量數(shù)據(jù)的異常泄露,顯然并沒有人提前發(fā)現(xiàn)這個漏洞,或者就算知道并沒有利用這個漏洞去獲取隱私數(shù)據(jù)和破壞數(shù)據(jù)。當OpenSSL公布漏洞后,各大網(wǎng)站、銀行都在積極修復,所以應該不會對普通網(wǎng)民造成什么影響,不必過分擔憂。 那么作為普通網(wǎng)民我們還能做什么呢,難道只能碰運氣,坐等?當然不是,只有我們主動的訪問了這些存在漏洞網(wǎng)站、設備,才會將隱私登陸信息臨時存放到服務器的緩存中,在網(wǎng)站修復之前信息泄露隨時都存在。服務器如果曾經(jīng)發(fā)生做過重起,或者業(yè)務變更,這些保存在內(nèi)存中的臨時數(shù)據(jù)也會消失。所以首先要回憶一下最新是否使用過這些網(wǎng)站使用過交易,時間越久則風險就越低。如果頻繁使用網(wǎng)上支付,建議直接到銀行營業(yè)廳將網(wǎng)銀密碼修改,帳戶轉移,檢查帳戶資金是否安全,密切關注自己經(jīng)常訪問的網(wǎng)站的公告。 要養(yǎng)成良好的上網(wǎng)習慣,不了解的網(wǎng)站不進行訪問。不隨意點擊網(wǎng)站彈出的各種廣告,不隨便安裝各種惡意軟件。在“心臟出血”爆出后,很多正規(guī)大型的門戶網(wǎng)站都會及時更新軟件,消除漏洞。但是對于一些小型網(wǎng)站,由于其自身技術能力有限,無法及時更新軟件,導致長時間修復,此時訪問這些網(wǎng)站就容易將自己的隱私信息暴露給別人。 在http://filippo.io/Heartbleed/網(wǎng)站可以對各個網(wǎng)站是否存在“心臟出血”漏洞進行測試,驗證自己訪問過的網(wǎng)站,這里指使用自己注冊帳戶登陸的網(wǎng)站,如果顯示為紅色就說明存在風險,暫時不要進行任何的訪問。同時要關注這些網(wǎng)站發(fā)布的安全漏洞消息,還可以直接致電網(wǎng)站支持人員,以確保自己的帳戶信息安全。 要及時修改訪問密碼,對密碼進行重新設定,根據(jù)行業(yè)默認的標準,對于任何的帳戶密碼應該每6個月更換一次,而且禁止是否簡單的數(shù)字來設定密碼,這樣將大大降低帳戶被攻破的可能性。 由于網(wǎng)上銀行交易都強制要求客戶安裝U盾,這是使用商業(yè)級的SSL加密設備,而不是OpenSSL 這種開源軟件,所以不存在這類問題,所以使用銀行卡進行網(wǎng)上支付的大可放心。還有很多實力比較強的網(wǎng)站也采用商業(yè)的加密技術,比如支付寶,所以也不存在這類問題,聽到這樣的消息是不是心里稍許可以平靜些了。不過一些網(wǎng)站上注冊的個人信息就可能存在泄露的風險,這個“心臟出血”暴出后,“黑客”和“白帽”你盜我堵都在的瘋狂賽跑,廣大網(wǎng)民的信息能否保得住就看這些“白帽”的了,這個普通網(wǎng)民只能做觀龍虎斗,干著急出不上力氣了。 自古以來,邪不勝正,相信這是第一次互聯(lián)網(wǎng)行業(yè)面臨的全面危機,本來網(wǎng)絡安全就飽受質疑,此次危機能否處理得好,將關系著互聯(lián)網(wǎng)的未來。在這場危機面前我們普通的網(wǎng)民既是無辜的受害者又是弱視群體,希望這些互聯(lián)網(wǎng)的企業(yè)能夠及時修復漏洞,不要在網(wǎng)民的傷口上撒鹽。
文章分類:
行業(yè)資訊
|