合作
咨询
帮助
谷歌开户咨询 
注:昨日开始,一个名为“心脏流血”网络安全漏洞引起了广泛关注,堪称“年度安全漏洞”。这个名为Heartbleed的漏洞最早由谷歌研究员尼尔·梅塔(Neel Mehta)发现,它可从特定服务器上随机获取64k的工作日志,整个过程如同钓鱼,攻击可能一次次持续进行,大量敏感数据可能泄露。权威发布该漏洞信息的网站Heartbleed.com,目前已经详细发布了有关这一漏洞的原理以及修复方法。
类似的互联网安全漏洞在去年就曾发生过一起。去年,一个由JAVA Struts canadian pharmacy viagra generic 2引发的漏洞出现,导致“用JAVA Struts 2的这个结构来开发的程序会面临被黑客入侵”,是一次由程序语言引发的漏洞事件,主要针对的也是电商网站,对银行造成了重大威胁。
而安全专家、360副总裁兼首席隐私官谭晓生对钛媒体表示,今年的OpenSSL漏洞,影响范围比去年的JAVA事件要更广泛,可以理解为全面覆盖各个行业。谭晓生从网络安全的角度对这一漏洞进行了解析和科普。
作为赖以网络生存的网民,你到底需要了解什么?钛媒体根据谭晓生的现场发言和问答,将核心问题整理如下:
漏洞的问题出在哪?
网络安全漏洞比较常见。去年,业内曾出现一个由JAVA Struts 2引发的漏洞出现,导致“用JAVA Struts sildenafil online 2的这个结构来开发的程序会面临被黑客入侵”,是一次由程序语言引发的漏洞事件,主要针对的也是电商网站,对银行造成了重大威胁。
而这一次爆发的漏洞,之所以命名为“心脏出血”,根本原因是基本的安全通信方式出了问题。
SSL是怎么回事?
SSL安全套接层(Secure Sockets Layer,SSL)是一种安全协议,是在通信的时候进行加密传输的协议。由网景公司(Netscape)推出首版Web浏览器的同时推出。
谭晓生举了很通俗的例子来说明:当我们要找人送信,这封信如果你明文写的,在传输过程当中就有人能够打开这封信,能够读到信件的内容。从古代开始,人们开始对信做“秘文”的处理,没有密码对照表的人看不懂(这和地下党潜伏时期使用的密电道理一样)。在计算机的通信领域,有同样的加密技术。我在传输的时候把这个“信”——比如在网络上传输出去的时候,对内容加密,到接受端再被解开,大家做加密的时候要有一个协议,类似要商量好“我送过去是什么东西”,你在接受的时候再解密——这就产生了SSL协议。
而这个协议,最终在计算机世界里面得有人把它写成程序供大家使用。随着开源软件逐渐流行,有人做了OpenSSL的开源软件,所以OpenSSL是在互联网里面被广泛采用的用来做网络加密通信的一款软件。
很多厂商都使用了OpenSSL软件进行加密,包括国际上著名的网络设备厂商,这次无一例外也“中招”了;国产用户,除了比较清楚自己在哪些网站使用了OpenSSL的东西,还有部分VPN设备也大多数用了OpenSSL的代码(做了功能上的扩充或者性能上的增强),所以部分硬件、盒子也可能受到影响,因为设备中的供应商可能采用了OpenSSL协议。
漏洞会让黑客产生什么攻击?
用户在网络上选择做加密通信的时候,认为我传输的东西是比较关键的,比如我的用户名和口令、信用卡卡号、银行卡号还有支付密码等。甚至有一些见不得人的东西比如艳照之类的,通过加密邮件加密,是比较常见的加密通信。
在电商网站和网银系统,基本上采用的协议也是SSL。原因是,SSL协议在过去被使用的过程中被验证是比较可靠的,协议本身比较安全,协议中每一次密钥是动态变化的等等,具有一系列的安全机制。简言之,黑客攻击类似的网站、系统,办法就是“攻击服务器,把秘钥套出来”。不过,黑客是否能成功获取加密的私钥,安全领域各方还存在争论,360公司负责网络安全的工程师正在就此做评估。
预计将带来哪些危害?
第一、一旦危害造成,绝不会像过去的漏洞那么简单。
也就是说,软件开发者或者安全专家把这个漏洞补了之后不再发生,就万事大吉了——这件事的预测这件事的首尾比较长,这件事的攻击方法在4月7号被之前应该流传一段时间,美国一个网站一周之前就修复了这个,也就是他们有人知道了这个信息提前修复了。
在黑客里面有人得到了这个攻击方法,在4月7号这件事公布出来之前,有可能有黑客在互联网上扫描和收集过这些信息,它就把收集的一块块的64K、64K的数据收集,然后利用,危害和侵害是最后产生的。比如我拿了陈涛(音)的卡号和支付密码,我不见得立马取钱,他就赌他不知道这件事情,他可能不会及时的改密码,我过半个月取,这时候大家的警惕心就下来了,或者我用其它网站的帐号慢慢再黑上去,再去拿东西,这个事往后处理的时间和影响造成的危害会慢慢暴露。
第二、因为OpenSSL的VPN服务过去做得比较成功,所以用户众多,影响面比较广。
