阿裏京東已修複 用戶需修改密碼
4月8日外媒爆出,研究人員發現OpenSSL漏洞遍及全球互聯網公司,並為其起了個形象的名字“心髒出血”,中國超過3萬台主機受波及,國內網站和安全廠商技術人員為檢查、搶修徹夜未眠。截至昨天,有超30%的主機已經修複,“大站”紛紛表示安全,但技術人士稱,消費者敏感信息是否泄露還有待日後觀察。
□事件
OpenSSL漏洞曝光
4月8日,OpenSSL的大漏洞曝光,外國黑客將其命名為“heartbleed”,用最致命的內傷“心髒出血”描述事件的嚴重性。該漏洞是由Codenomicon和穀歌安全部門的研究人員獨立發現的。不過據外媒報道,為了將影響降到最低,研究人員已經與OpenSSL團隊和其他關鍵的內部人士展開了合作,在公布該問題前就已經準備好修複方案。
OpenSSL是為網絡通信提供安全及數據完整性的一種安全協議,囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協議,各大網銀、在線支付、電商網站、門戶網站、電子郵件等重要網站上廣泛使用。知道創宇網站安全部總監餘弦將OpenSSL形容為“互聯網上銷量最大的門鎖”。此次爆出的這個漏洞,則讓特定版本的OpenSSL成為無需鑰匙即可開啟的廢鎖,入侵者每次可以翻檢戶主的64K信息,隻要有足夠的耐心和時間,他可以翻檢足夠多的數據,拚湊出戶主的銀行密碼、私信等敏感數據。
“簡單識別網站應用是否采用SSL加密,隻需要看瀏覽器地址欄是http,還是https,後者就是用SSL加密的。通常是非常關鍵的網絡服務,比如郵箱、支付、銀行。”金山毒霸安全專家李鐵軍說。
“有這樣千載難逢的機會,黑客們是舍不得睡覺的。他們會想盡辦法多獲取一些服務器上的信息。”360公司技術副總裁譚曉生說。
□影響
互聯網安全大地震
“這是近兩年來最嚴重的一次網絡安全危機。”360公司技術副總裁譚曉生評價,在以https開頭的網站中,初步評估有不少於30%的網站中招,其中包括大家最常用的購物、網銀、社交、門戶等知名網站,而在手機APP的網銀客戶端中,則有至少50%存在風險。
據南京翰海源信息技術有限公司創始人方興介紹,通俗來講,通過這個漏洞,可以泄露以下四方麵內容:一是私鑰,所有https站點的加密內容全能破解;二是網站用戶密碼,用戶資產如網銀隱私數據被盜取;三是服務器配置和源碼,服務器可以被攻破;四是服務器掛掉不能提供服務。
一位安全行業人士透露,他在某著名電商網站上用這個漏洞嚐試讀取數據,在讀取200次後,獲得了40多個用戶名、7個密碼,用這些密碼,他成功地登錄了該網站。
昨天下午,來自知道創宇ZoomEye網絡空間搜索引擎的監控顯示,國內有22611台主機受影響,而前天這個數字是33303,可以看到情況正在好轉,超過30%的主機已經修複。
“漏洞被挖掘出來以後,帶來的危害並不會非常快地顯現。”瑞星安全專家唐威告訴記者,現階段企業層麵能做的也是對使用的OpenSSL進行排查和升級。
不過,昨天也有業內人士稱,這個漏洞其實並沒那麽可怕,因為這是一個舊版本OpenSSL的安全漏洞,開發者把服務器程序升級到OpenSSL1.0.1g就可以解決。
□回應
銀行銀聯支付不受影響
對於OpenSSL的漏洞,有傳言稱即便是銀行網上支付、U盾、銀聯支付也都並不安全。不過,業內人士昨天向記者坦言,該漏洞對銀行網上支付、銀行U盾使用及銀聯的影響幾乎為零。
中國金融認證中心應用開發部總經理林峰表示,OpenSSL的這個漏洞是由於代碼實現不嚴謹造成的。這個漏洞存在於OpenSSL1.0.1係列版本中,之前的OpenSSL版本不受影響。天貓、淘寶使用的正是這個係列的版本,所以可以竊取到內存中的數據。
“如果銀行使用了帶有該漏洞的OpenSSL開源軟件版本,會有一定的影響。但是這個漏洞隻是竊取內存中的數據,銀行的用戶密碼還有一重加密保護,一般不會在SSL服務器解密,所以也就很難拿到銀行用戶的密碼。”
林峰還表示,其實這個OpenSSL的漏洞和U盾的安全性沒有什麽聯係,因為用戶的交易敏感信息是通過USB接口送入U盾後,在U盾內部進行加密和數字簽名運算,SSL協議是對U盾加密簽名後的數據再進行一次傳輸層的加密。這次OpenSSL的漏洞對U盾沒有影響。
此外,中國銀聯相關負責人昨天也回應稱,銀聯核心跨行交易係統運營基於專用網絡,與漏洞事件無關。該負責人稱,“銀聯在線支付”等基於互聯網的創新業務係統並未使用OpenSSL技術,對於個別外圍供應商可能存在的OpenSSL漏洞,銀聯已通過主動排查,在烏雲網等技術人士公開漏洞事件前就已協調供應商消除了隱患,持卡人可以放心使用。
微軟百度稱未受影響
昨天,微軟中國方麵向記者回應稱,沒有任何微軟產品受到此漏洞的影響。OpenSSL是開源用以實現SSL協議的產品,微軟並沒有在旗下產品和服務中使用此開源的解決方案。據悉,多數商業公司使用的SSL加密都是付費的,與本次暴露出漏洞的OpenSSL關係不大。
百度方麵也表示,百度錢包不受影響。
電商當當網表示,當當網固有的賬戶體係非常安全,消費者可放心購物。
盛大方麵表示,盛大通行證的認證主要是通過硬件加密等方式來使用https協議,目前已經和供應商確認過,一方麵所使用的OpenSSL版本不是會受影響,另一方麵針對有可能出現的安全隱患,已在第一時間通過升級進行了處理。
阿裏京東回應已修複
昨天早上,此次漏洞事件引發最多泄密擔憂的阿裏係急忙表示漏洞已經修複。阿裏安全回應稱,關於OpenSSL某些版本存在基於基礎協議的通用漏洞,阿裏各網站已經在第一時間進行了修複處理,目前已經處理完畢,包括淘寶、天貓、支付寶等各大網站都確認可以放心使用。其中淘寶方麵還透露,從目前監控的情況來看,未發現賬戶異常。
京東則表示,已於昨天完成了修補處理,避免了這次漏洞的侵襲。
騰訊昨天早上也發聲明稱,騰訊已在第一時間進行處理,目前相關的產品業務如郵箱、財付通、QQ、微信等都已經修複完畢。
網易郵箱方麵告訴記者,烏雲報告提到的網易郵箱OpenSSL漏洞,經過網易郵箱查證,所列域名都是指向了CDN(內容分發網絡)服務,收到報告後網易郵箱第一時間反饋給CDN服務商,當晚已經修複。
此外,全球互聯網巨頭雅虎、穀歌和Facebook也紛紛表示已修複漏洞。穀歌表示:“我們已經評估了SSL漏洞,並且給穀歌的關鍵服務打上了補丁。”
誰能利用“心髒出血”漏洞?
“對於了解這項漏洞的人,要對其加以利用並不困難。”普林斯頓大學計算機科學家菲爾騰說。利用這項漏洞的軟件在網上有很多,雖然這些軟件並不像iPad應用那麽容易使用,但任何擁有基本編程技能的人都能學會它的使用方法。
當然,這項漏洞對情報機構的價值或許最大,他們擁有足夠的基礎設施來對用戶流量展開大規模攔截。
□消費者應對
網站修複漏洞後用戶需修改密碼
360公司技術副總裁譚曉生建議,在4月7日和8日兩天登錄過存在漏洞的網站的網友,首先需要確認曾經登錄的網站是否已經進行了升級修複,可看該網站是否發布相關的公告,也可通過360網站衛士推出的OpenSSL漏洞在線檢查工具,輸入網址檢測網站是否存在該漏洞。如果相關網站已完成了修複,則用戶需要將使用過的用戶名、密碼等個人信息進行修改;如果登錄過的網站仍然未能完成修複,“那很遺憾,用戶隻有坐等對方修複。”
金山毒霸安全專家李鐵軍表示,對重要服務,要盡可能開通手機驗證或動態密碼,比如支付寶、郵箱等。
“針對OpenSSL漏洞,黑客的攻擊方式是不斷發動數據包攻擊,每次攻擊能夠從服務器內存上得到大小為64K的數據,不過獲得的數據是零散無序的,黑客想要獲得真正有用的信息,需要把累計獲得的數據進行整理分析,這需要一個時間過程,因此,在這兩天內及時完成密碼修改,就不會有太大的問題。”譚曉生提醒說,不過,即便網站完成修複,也並不意味著天下太平了,未來是否有新的危險還不得而知。
此外,在網站漏洞修複前,不要網購或網上支付,以免受到損失。一個密碼的使用時間不宜過長,超過3個月就該換掉了。
什麽是SSL?
SSL是一種流行的加密技術,可以保護用戶通過互聯網傳輸的隱私信息。網站采用此加密技術後,第三方無法讀取你與該網站之間的任何通訊信息。在後台,通過SSL加密的數據隻有接收者才能解密。
SSL最早在1994年由網景推出,1990年代以來已經被所有主流瀏覽器采納。
什麽是“心髒出血”漏洞?
SSL標準包含一個心跳選項,允許SSL連接一端的電腦發出一條簡短的信息,確認另一端的電腦仍然在線,並獲取反饋。研究人員發現,可以通過巧妙的手段發出惡意心跳信息,欺騙另一端的電腦泄露機密信息。受影響的電腦可能會因此而被騙,並發送服務器內存中的信息。
誰發現的這個問題?
該漏洞是由Codenomicon和穀歌安全部門的研究人員獨立發現的。為了將影響降到最低,研究人員已經與OpenSSL團隊和其他關鍵的內部人士展開了合作,在公布該問題前就已經準備好修複方案。