OpenSSL漏洞:黑客与白帽们的拉锯战

观察
2014
12/05
11:42
综合
分享
评论

对于黑客和白帽们来说,这是不眠之夜。他们有的在狂欢,有的在防御,甚至还要准备说服客户的说辞,让他们意识到问题的严重性。

【砍柴网推荐】昨日,OpenSSL(为网络通信提供安全及数据完整性的一种安全协议)爆出本年度最严重的安全漏洞。利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到很多以https开头网址的用户登录账号密码,包括大批网银、知名购物网站、电子邮件等。对于这则 毁灭性的 安全漏洞,多家安全厂商表示发布紧急预警,提醒各大互联网服务商尽快修复该漏洞。

黑客与白帽们的拉锯战

对于黑客和白帽们来说,这是不眠之夜。他们有的在狂欢,有的在防御,甚至还要准备说服客户的说辞,让他们意识到问题的严重性。

北京知道创宇公司的余弦守在电脑屏幕前彻夜未眠。作为一家高速发展的安全企业研究部总监,余弦在国内黑客圈资历颇深。余弦告诉砍柴网记者,该漏洞是由安全公司Codenomicon和谷歌安全工程师发现的,并提交给相关管理机构,随后官方很快发布了漏洞的修复方案。4月7号,程序员Sean Cassidy则在自己的博客上详细描述了这个漏洞的机制。

余弦披露,OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。

一位安全行业人士在网上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。

发现者们给这个漏洞起了个形象的名字:heartbleed,心脏出血。这一夜,互联网的安全核心,真的开始滴血。

OpenSSL漏洞波及网银电商等核心领域

余弦则以对问题进行了精确的定量分析。4月8日的不眠之夜中,他除了在Twitter和各大论坛中实时跟踪事态的最新进展,更重要的精力放在了ZoomEye系统的扫描上。

从该系统 体检 结果看,比三万台问题服务器更令人惊心的,是这些服务器的分布:它们有的在银行网银系统中,有的被部署在第三方支付里,有的在大型电商网站,还有的在邮箱、即时通讯系统中。

这个漏洞实际上出现于2012年,至今两年多,谁也不知道是否已经 有骇客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。

对于普通用户来说,余弦建议在确认有关网站安全之前,不要使用网银、电子支付和电商购物等功能,以避免用户密码被钻了漏洞的骇客捕获。 一位银行朋友告诉我,他们补上这个漏洞需要两天时间。这两天大家最好就别登录网银了,确认安全后再登。如果已经登录过了,那就考虑换一下密码吧。

由于 心脏出血 漏洞的广泛性和隐蔽性,未来几天可能还将会陆续有问题爆出。在互联网飞速发展的今天,一些协议级、基础设施级漏洞的出现,可能会打击人们使用互联网的信心,更为直观的可能会导致企业和用户的财产遭受损失。(本文改编阳淼《互联网安全不眠夜: 心脏出血 ,波及网银电商》)

THE END
广告、内容合作请点击这里 寻求合作
OpenSSL漏洞 黑客
免责声明:本文系转载,版权归原作者所有;旨在传递信息,不代表电商之家的观点和立场。

相关热点

马斯克此前就表示,“是否能充当科技的领先者,这是由背后是否有最优秀的工程人员所决定的”,而像科技媒体latimes也刊文指出,开放专利不仅不会威胁特斯拉当前的先锋地位,反之还会加固它的领导优势。
观察
【砍柴网推荐】吴军博士在《浪潮之巅》中说,想要成为弄潮儿,你得看准浪潮在哪儿。那么,大数据算浪潮吗?O2O?可穿戴设备?日新月异的科技,往往在旅游业中被运用得最为广泛和迅速。而在线旅游作为整个旅游产业链
观察
在微博搜索基友,可以找到8500多万条相关内容,这个词像瓜子壳一样从白领和屌丝口中蹦出来,但是在调侃之外,同志这个群体事实上并未被大多数人接纳。 现在门户网站偶尔会发一些同志权益的内容,但是评论里面全是骂的。同志交友网站淡蓝网创始人耿乐说。这已
观察
乐视产品由富士康代工,但这并不是事实的全部。一位代工厂的负责人向锐观察表示,乐视60寸电视是由富士康代工的,其余产品是由冠捷代工。小米是由纬创代工。
观察
如果最近你看到一个人低着头,用拇指或食指不停地在手机屏幕上点啊点,期间周围的一切好似都与他无关,他像进入了一种禅的境界,眼神专注而又呆滞,甚至几十秒不曾眨眼,那么别怀疑,这世界又多了一个为Flappy Bird痴迷的死忠,如此而已。
观察

相关推荐

1
3