近日,互联网基础组件OpenSSL爆出严重安全漏洞,这一被命名为“心脏出血”的漏洞,让攻击的黑客、维护网络安全的“白帽子”、修复升级系统版本的互联网公司等纷纷闻“血”而动,网民则在毫不知情的情况下访问着已处于“裸奔”状态的站点。据统计,仅7日、8日期间,就有共计约2亿网友访问了存在OpenSSL漏洞的网站。“心脏出血”是什么样的漏洞?为什么会被称为“近年来最严重的安全漏洞”?互联网时代,网民如何尽量自保安全?
在互联网的世界里,“漏洞”从来都不是一个低曝光率的词,这一次,爆出漏洞的是互联网基础组件OpenSSL。
OpenSSL是什么?“SSL是为网络通信提供安全及数据完整性的一种安全协议,也是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。”360安全专家安扬告诉记者,“OpenSSL是基于SSL的开源免费软件,由于免费和易用,是目前互联网上应用最广泛的安全传输方法。”形象地说,OpenSSL可以看作互联网上销量最大的“门锁”,此次爆出的漏洞,让特定版本的OpenSSL成为无需“钥匙”即可开启的“废锁”。这个漏洞被命名为“心脏出血”。
“心脏出血”是如何影响互联网安全的呢?有专家表示,“心脏出血”是OpenSSL源代码出现的一个漏洞,这个漏洞的本质是内存泄漏。这一漏洞的存在,可以让攻击者获得服务器返回的64KB的内存数据。这部分数据中,可能存有安全证书、用户名与密码、电子邮件以及重要的商业文档等数据。虽然攻击者每次只能翻检64KB大小的信息,但只要他有足够的耐心和时间,就能找出足够多的数据以拼凑完整的数据信息。
在国家信息安全漏洞共享平台(CNVD)上,该漏洞的综合评级为“高危”。由CNVD组织完成的多个测试实例表明,根据对应OpenSSL服务器承载业务类型,攻击者一般可获得用户实时连接的用户账号密码、会话Cookies等敏感信息,进一步可直接取得相关用户权限,窃取私密数据或执行非授权操作。一位安全行业人士亲自验证后透露,他在某著名电商网站用“心脏出血”漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功登录了该网站。
360安全专家石晓虹表示,此次OpenSSL漏洞堪称“网络核弹”,很多隐私信息都存储在网站服务器的内存中,无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。
安扬表示,OpenSSL漏洞风险极高,不仅普通网民受到影响,而且很多核心机构和各大公司集团也正在遭遇一场信息安全危机。
然而,尽管多数人认为此次漏洞危害严重,但也有不同的声音传来。在广东井田云科技有限公司首席架构设计师何渐兴看来,“心脏出血”漏洞有被夸大的嫌疑,网民不必过分担心。但他同时也表示,网络安全无小事,各网站运营商应第一时间堵上漏洞。
据统计,仅7日、8日,就有共计约2亿网友访问了存在OpenSSL漏洞的网站,但其中有多少人被盗取信息仍是未知数。事实上,该款缺陷软件自2012年3月推出至今已两年有余,黑客是否已利用漏洞获取用户资料尚无从得知。根据权威网络空间搜索引擎Zoomeye系统扫描,我国全境至少有33303台服务器受此次漏洞影响,覆盖从消费到通讯、社交等众多国内知名网站。
许多“中招”网站发现漏洞后也纷纷采取紧急措施,据360公司4月11日发布的监测数据显示,71.9%的网站已修复该漏洞。
尽管修复工作仍在持续进行,但“心脏出血”的影响或许并不会就此结束。安全专家提醒,虽然登录重要网站被黑客直接抓取密码的风险目前来看已经不大,但对电脑软件、手机APP、VPN、邮件系统、网络设备等其他受影响的互联网产品和服务来说,此次漏洞造成的内伤很难短期内完全恢复。毕竟,抓密码只是表面危害,对于黑客高手来说,利用此漏洞对核心机构和各大企业实施入侵渗透才是最大的威胁,甚至影响国家信息安全。
而对普通网民来说,从该漏洞曝光到网站修复漏洞的这段时间内,已有黑客利用“心脏出血”漏洞进行攻击,有些网站用户信息或许已被黑客获取。安扬认为,接下来,不法黑客可能会利用其获取到的信息,进行欺诈等攻击。因此,随后较长的一段时间内,网民应格外注意账号安全,并谨防各种盗用身份的诈骗信息。
网民该如何在这样一场还在持续流淌的“心脏出血”影响中自保?石晓虹建议,用户在确认相关网站升级修复前,尽量避免登入账号,更不要登录网银及其他支付类的接口账户;对于一些已完成修复升级的网站,用户则应当尽快登录网站更改密码等重要信息。