新漏洞威脅網(wǎng)銀、微信、淘寶等安全
8日,常用于電商、網(wǎng)銀等安全性極高網(wǎng)站的網(wǎng)絡安全協(xié)議Open SSL被曝出存在安全漏洞,危及全球包括銀行、電商在內(nèi)關鍵部門和普通用戶財產(chǎn)和信息安全。這一漏洞一旦被惡意利用,意味著用戶登錄這些電商、網(wǎng)銀的賬戶、密碼等關鍵信息都將泄露。 北京知道創(chuàng)宇信息技術有限公司研究部總監(jiān)鐘晨鳴表示,此次漏洞會影響為數(shù)眾多的使用https的網(wǎng)站,包括公眾熟知并且經(jīng)常訪問的微信、淘寶、各個網(wǎng)銀、社交、門戶等知名網(wǎng)站,而且越是知名的大網(wǎng)站,越是容易受到不法分子利用漏洞進行的攻擊。 據(jù)南京翰海源信息技術有限公司創(chuàng)始人方興介紹,通俗來講,通過這個漏洞,可以泄露以下四方面內(nèi)容:一是私鑰,所有https站點的加密內(nèi)容全能破解;二是網(wǎng)站用戶密碼,用戶資產(chǎn)如網(wǎng)銀隱私數(shù)據(jù)被盜取;三是服務器配置和源碼,服務器可以被攻破;四是服務器掛掉不能提供服務。 一位安全行業(yè)人士透露,他在某著名電商網(wǎng)站上用這個漏洞嘗試讀取數(shù)據(jù),在讀取200次后,獲得了40多個用戶名、7個密碼,用這些密碼,他成功地登錄了該網(wǎng)站。 這一漏洞被曝出后,全球的黑客與安全保衛(wèi)者們展開了競賽。黑客在不停地試探各類服務器,試圖從漏洞中抓取到盡量多的用戶數(shù)據(jù);安全保衛(wèi)者則在盡可能短的時間里升級系統(tǒng)、彌補漏洞,實在來不及實施的則暫時關閉某些服務。 鐘晨鳴說,這個漏洞實際上出現(xiàn)于2012年,至今兩年多,誰也不知道是否已經(jīng)有黑客利用漏洞獲取了用戶資料;而且由于該漏洞即使被入侵也不會在服務器日志中留下痕跡,所以目前還沒有辦法確認哪些服務器被入侵,也就沒法定位損失、確認泄露信息,從而通知用戶進行補救。 國家應急中心直到9日才開始聯(lián)動,響應并不及時。該中心一名專家坦陳,從2003年,國家應急中心就試圖建立漏洞觸發(fā)的相關應急工作和能力,但是這一領域的工作到現(xiàn)在也不夠清晰,需要新的能力架構設計。“純事件觸發(fā)有時太晚太被動,2001年至2004年有很多教訓,技術上存在適當前移的可能。” 業(yè)內(nèi)人士建議,需從頂層設計著手,在政策層面明確導向信息安全與信息化的一體性質(zhì),以及安全與建設的全周期結合。從規(guī)劃角度,要導向政企單位建立綜合的信息安全能力,要強調(diào)信息安全的體系化建設,把離散的等級保護要求推動到下一步的整體建設中。 |
