设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 1228|回复: 0

网络漏洞数万服务器用户隐私遭泄 网民见惯不怪

[复制链接]

 成长值: 50590

发表于 2014-4-20 04:06 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

x
近日,国际知名安全协议OpenSSL的官方网站发布了一个安全公告,称OpenSSL1.0.1f版本中存在一个严重漏洞,可导致网站服务器被黑客监听,用户的敏感信息被泄露。据悉,该漏洞被业内称为“心脏出血”漏洞,也被广泛认为是近年来危害最严重的安全漏洞,黑客坐在自家电脑前,就可以从很多https开头网址的服务器上实时抓取用户的账号密码,涉及网银、购物网站、社交网站等信息。360安全专家石晓虹表示,“此漏洞为本年度互联网上最严重的安全漏洞,影响至少两亿中国网民。需要在https开头网址登录的网站,初步评估有不少于30%的网站中招,其中包括大家最常用的购物、网银、社交、门户等知名网站。”

据了解,OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,它囊括了主要的密码算法、常用密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其他目的使用。目前,占据全球三分之二市场份额的Apache和Nginx服务器都在使用OpenSSL,此外,OpenSSL还被大量应用于电子邮件客户端、聊天软件等互联网应用软件中。

瑞星互联网攻防实验室出具的安全报告显示,本次OpenSSL“心脏出血”漏洞存在于ssl/dl_both.c文件中,是Heartbleed模块的一个Bug所致。漏洞可导致黑客远程读取网站服务器长达64K的数据,而这些数据中极有可能存储了用户的网银账号、订单信息、身份信息及支付密码等,黑客只需利用该漏洞反复进行内存记录读取,大量截获用户的敏感数据。

数万服务器用户隐私遭泄

据安全专家介绍,本次OpenSSL曝出的漏洞影响范围特别广泛,基本上所有使用https开头的网站都会受到影响。据谷歌和网络安全公司Codenomicon的研究人员透露,OpenSSL加密代码中一种名为Heartbleed的漏洞存在已有两年之久。三分之二的活跃网站均在使用这种存在缺陷的加密协议。因此,许多人的数据信息开始被暴露,每个人都被卷入到这次灾难的修正中去。放眼望去,网民经常访问的支付宝、淘宝、微信公众号、YY语音、陌陌、雅虎邮件、网银、门户等各种网站,基本上都出了问题。而在国外,受到波及的网站也数不胜数,就连大名鼎鼎的NASA(美国航空航天局)也已宣布,用户数据库遭泄露。

安全专家表示,现在还不知道,OpenSSL安全漏洞对移动领域的影响有多大。现在移动用户数已经超过传统计算机用户,但几乎没有任何信息提醒移动用户注意潜在风险。据悉,“心脏出血”漏洞不是操作系统问题,也不是浏览器问题,而是安全层出现了漏洞。由于大多数的隐私工具都是基于OpenSSL,所以这次Bug影响的范围会更加深远。

50%手机APP支付安全受威胁

被称为年度最高危的“心脏出血”安全漏洞不但影响网站安全,手机APP也难逃劫难。谷歌近日发布公告就证实安卓手机用户同样受到“心脏出血”安全漏洞的威胁,谷歌称安卓系统的4.1.1版采用了有漏洞版本的OpenSSL协议库,目前正在为合作伙伴准备修复安全补丁。这意味着,使用安卓4.1.1版本手机用户都将面临该漏洞的隐私被窃取的安全威胁。而根据4月初的数据统计,4.1.X版本占所有安卓系统版本市场占有率的34.4%。

360手机安全中心统计发现,有50%的手机APP使用了HTTPS协议,这其中包括手机广告插件类、手机支付类、社交分享类APP。这些APP中,有部分采用了有漏洞的OpenSSL库。手机安全专家研究发现,黑客通过服务器同样可以反向窃取问题手机上的隐私信息,但具体的影响范围和深度目前仍需研究确认。

“用户登录APP,与用户直接登录网站一样,都有可能将自己的账号、密码等实时登录信息暴露给攻击者,也会受到漏洞的安全威胁。”手机安全专家表示,因此建议广大手机用户尽量设置不同密码、防止黑客窃取更多隐私信息。

个人电脑同样受漏洞攻击

据介绍,“心脏出血”漏洞刚刚曝出时,黑客主要攻击的是电商等https网站,抓取网站用户的登录账号和密码、cookie等数据,此后,大量VPN、邮件系统、FTP工具也被曝受漏洞影响,思科和Juniper的网络设备宣告中招;最新消息显示,Windows也面临OpenSSL漏洞冲击。

安全研究人员指出,Windows上用OpenSSL的软件也不少,且多数使用自己安装目录下的SSLeay32.dll和Libeay32.dll,没有统一的升级管理机制,漏洞可能会长期存在。

据悉,黑客利用OpenSSL漏洞是以发送恶意“心跳包”的方式实现的。对此360漏洞研究实验室主任袁仁广表示,“分析了OpenSSL源代码,发现客户端和服务器端对心跳包的处理完全是对等的”,这意味着,黑客既可以用“客户端打服务器”的方式抓取网站服务器的内存数据,也可以用“服务器打客户端”的方式抓取个人电脑数据。

个人电脑遭遇“心脏出血”攻击,其后果不仅是账号密码、登录认证cookies、密钥等敏感数据被黑客抓取,Windows安全体系也会因此“内伤”被黑客突破,一些原本威胁不大的漏洞结合OpenSSL漏洞会爆发出强大的破坏力,使整个系统被黑客入侵控制。

OpenSSL漏洞检测平台数据显示,国内网站对此漏洞的修复比例已达到73.2%,绝大多数知名重要网站均已修复漏洞。未来一段时间,OpenSSL漏洞重灾区很可能从网站转移到个人电脑。

国内安全企业积极应对漏洞

目前OpenSSL已经发布了1.0.1g版本以修复这一问题,被漏洞问题波及的网站只需要更新OpenSSL的版本就可以不再受此漏洞的影响。此外,国内安全企业也积极发布应对互联网漏洞的措施。

针对因OpenSSL“心脏出血”漏洞引起的对支付安全问题的担忧,汇付天下方面就率先向用户派发“定心丸”。据汇付天下首席信息官林朗表示,“‘汇付POS收单’手机客户端上应用全球领先加密技术V-Key系统的V-Track技术会不断进行病毒数据监测与收集,据此不断升级优化自身系统,以提供更加完善与坚固的加密技术。”因此将“无惧OpenSSL漏洞”。

瑞星公司也紧急推出针对网站OpenSSL漏洞的免费在线检测服务,广大站长及网站管理员只需输入网站域名,即可进行自动分析检测,一旦发现漏洞可尽快修补。瑞星安全专家介绍,本次被曝的OpenSSL漏洞针对1.0.1-1.0.1f及1.0.2-beta1,其他版本不受影响,建议广大站长及网站管理员尽快修复OpenSSL漏洞,重新生成SSL私钥,替换SSL证书,如果发现网站已遭黑客攻击,则应立即提醒用户尽快更改密码,以避免因账号被盗遭受损失。

360则第一时间向12万网站用户发送提醒邮件,提醒广大站长尽快将OpenSSL升级至1.0.1g版本,以修复该漏洞。为帮助用户避免相应风险,360网站卫士推出OpenSSL漏洞在线检查,输入网址就能够检测网站是否存在该漏洞。石晓虹提醒广大互联网服务商,尽快将OpenSSL升级至1.0.1g进行修复,同时建议广大网友,在此漏洞得到修复前,暂时不要在受到漏洞影响的网站上登录账号。



来源:网络转载
[发帖际遇]: admin 捡了钱没交公 SB 降了 1 . 幸运榜 / 衰神榜
随遇而安
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表