激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

<ul id="buwfs"><strike id="buwfs"><strong id="buwfs"></strong></strike></ul>
    <output id="buwfs"></output>
  • <dfn id="buwfs"><source id="buwfs"></source></dfn>
      <dfn id="buwfs"><td id="buwfs"></td></dfn>
      <div id="buwfs"><small id="buwfs"></small></div>
      <dfn id="buwfs"><source id="buwfs"></source></dfn>
      1. <dfn id="buwfs"><td id="buwfs"></td></dfn>
        億恩科技有限公司旗下門戶資訊平臺!
        服務器租用 4元建網(wǎng)站

        互聯(lián)網(wǎng)安全不眠夜:OpenSSL曝重大漏洞

        昨晚(4月8日)是黑客和白帽們的不眠之夜。他們有的在狂歡,逐個進入戒備森嚴的網(wǎng)站,耐心地收集泄漏數(shù)據(jù),拼湊出用戶的明文密碼;有的在艱苦升級系統(tǒng),統(tǒng)計漏洞信息,還要準備說服客戶的說辭,讓他們意識到問題的嚴重性;這一夜,互聯(lián)網(wǎng)門戶洞開。

        2014年4月8日,必將永載于互聯(lián)網(wǎng)史冊。這一天,互聯(lián)網(wǎng)世界發(fā)生了兩件大事:一、微軟正式宣布XP停止服務退役;第二件,OpenSSL的大漏洞曝光。

        很多普通人更關(guān)心第一件事,因為與自己切身相關(guān)。但事實上,第二件事,才是真正的大事件。

        這個漏洞影響了多少網(wǎng)站,這個數(shù)字仍在評估當中,但放眼望去,我們經(jīng)常訪問的支付寶、淘寶、微信公眾號、YY語音、陌陌、雅虎郵件、網(wǎng)銀、門戶等各種網(wǎng)站,基本上都出了問題。

        基礎(chǔ)安全協(xié)議“心臟出血”

        該漏洞是由安全公司Codenomicon和谷歌安全工程師發(fā)現(xiàn)的,并提交給相關(guān)管理機構(gòu),隨后官方很快發(fā)布了漏洞的修復方案。4月7號,程序員Sean Cassidy則在自己的博客上詳細描述了這個漏洞的機制。

        他披露,OpenSSL的源代碼中存在一個漏洞,可以讓攻擊者獲得服務器上64K內(nèi)存中的數(shù)據(jù)內(nèi)容。這部分數(shù)據(jù)中,可能存有安全證書、用戶名與密碼、聊天工具的消息、電子郵件以及重要的商業(yè)文檔等數(shù)據(jù)。

        OpenSSL是目前互聯(lián)網(wǎng)上應用最廣泛的安全傳輸方法(基于SSL即安全套接層協(xié)議)。可以近似地說,它是互聯(lián)網(wǎng)上銷量最大的門鎖。而Sean爆出的這個漏洞,則讓特定版本的OpenSSL成為無需鑰匙即可開啟的廢鎖;入侵者每次可以翻檢戶主的64K信息,只要有足夠的耐心和時間,他可以翻檢足夠多的數(shù)據(jù),拼湊出戶主的銀行密碼、私信等敏感數(shù)據(jù);假如戶主不幸是一個開商店的或開銀行的,那么在他這里買東西、存錢的用戶,其個人最敏感的數(shù)據(jù)也可能被入侵者獲取。

        一位安全行業(yè)人士在知乎上透露,他在某著名電商網(wǎng)站上用這個漏洞嘗試讀取數(shù)據(jù),在讀取200次后,獲得了40多個用戶名、7個密碼,用這些密碼,他成功地登錄了該網(wǎng)站。

        發(fā)現(xiàn)者們給這個漏洞起了個形象的名字:heartbleed,心臟出血。這一夜,互聯(lián)網(wǎng)的安全核心,開始滴血。

        中國有至少三萬臺機器“帶病”

        一些安全研究者認為,這個漏洞影響可能沒有那么大,因為受漏洞影響的OpenSSL 1.01系列版本,在互聯(lián)網(wǎng)上部署并不廣泛。

        國內(nèi)老資格的安全工作者、安天實驗室首席架構(gòu)師江??筒徽J同這種說法。他在微博上預警:“這一次,狼真的來了”。

        余弦則以對問題進行了精確的定量分析。4月8日的不眠之夜中,他除了在Twitter和各大論壇中實時跟蹤事態(tài)的最新進展,更重要的精力放在了ZoomEye系統(tǒng)的掃描上。根據(jù)該系統(tǒng)掃描,中國全境有1601250臺機器使用443端口,其中有33303個受本次OpenSSL漏洞影響!443端口僅僅是OpenSSL的一個常用端口,用以進行加密網(wǎng)頁訪問;其他還有郵件、即時通訊等服務所使用的端口,因時間關(guān)系,尚未來得及掃描。

        ZoomEye是一套安全分析系統(tǒng),其工作原理類似Google,會持續(xù)抓取全球互聯(lián)網(wǎng)中的各種服務器,并記錄服務器的硬件配置、軟件環(huán)境等各類指標,生成指紋,定期對比,以此確定該服務器是否存在漏洞或被入侵。在此次“心臟出血”漏洞檢測中,余弦給該系統(tǒng)后面加上一個“體檢”系統(tǒng),過濾出使用問題OPenSSL的服務器,即可得出存在安全隱患的服務器規(guī)模。

        從該系統(tǒng)“體檢”結(jié)果看,比三萬臺問題服務器更令人驚心的,是這些服務器的分布:它們有的在銀行網(wǎng)銀系統(tǒng)中,有的被部署在第三方支付里,有的在大型電商網(wǎng)站,還有的在郵箱、即時通訊系統(tǒng)中。

        自這個漏洞被爆出后,全球的駭客與安全專家們展開了競賽。前者在不停地試探各類服務器,試圖從漏洞中抓取到盡量多的用戶敏感數(shù)據(jù);后者則在爭分奪秒地升級系統(tǒng)、彌補漏洞,實在來不及實施的則暫時關(guān)閉某些服務。余弦說,這是目前最危險的地方:駭客們已經(jīng)紛紛出動,一些公司的負責人卻還在睡覺。而如果駭客入侵了服務器,受損的遠不止公司一個個體,還包括存放于公司數(shù)據(jù)庫的大量用戶敏感資料。更為麻煩的是,這個漏洞實際上出現(xiàn)于2012年,至今兩年多,誰也不知道是否已經(jīng)有駭客利用漏洞獲取了用戶資料;而且由于該漏洞即使被入侵也不會在服務器日志中留下痕跡,所以目前還沒有辦法確認哪些服務器被入侵,也就沒法定位損失、確認泄漏信息,從而通知用戶進行補救。

        問題的應對與新的問題

        目前,ZoomEye仍在持續(xù)不斷地給全球服務器”體檢“,這個過程需要20小時左右。相比之下,僅僅給國內(nèi)服務器體檢需要的時間短得多,僅僅需要22分鐘;而給那三萬多臺”帶病“服務器重復體檢,則只需兩分鐘。目前,余弦已經(jīng)將這份名單提交給CNCERT/CC(國家互聯(lián)網(wǎng)應急中心),由后者進行全國預警。但是,除了移動、聯(lián)通等這些大型企業(yè)外,CNCERT也沒有強制力確保其他公司看到預警內(nèi)容,最后可能還是需要媒體持續(xù)曝光一些“帶病”服務器,以此倒逼相關(guān)公司重視該漏洞。

        而在漏洞修補期間,普通消費者與公司均應該采取相關(guān)措施規(guī)避風險。對于普通用戶來說,余弦建議在確認有關(guān)網(wǎng)站安全之前,不要使用網(wǎng)銀、電子支付和電商購物等功能,以避免用戶密碼被鉆了漏洞的駭客捕獲?!耙晃汇y行朋友告訴我,他們補上這個漏洞需要兩天時間。這兩天大家最好就別登錄網(wǎng)銀了,確認安全后再登。如果已經(jīng)登錄過了,那就考慮換一下密碼吧?!?

        與用戶的消極避險不同,相關(guān)互聯(lián)網(wǎng)企業(yè)則應該盡快進行主動升級。升級到最新的OpenSSL版本,可以消除掉這一漏洞,這是目前企業(yè)最便捷的做法。但在升級后,理論上還應該通知用戶更換安全證書(因為漏洞的存在,證書的密鑰可能已泄漏),并通知用戶盡可能地修改密碼。后面這兩個措施,企業(yè)實施起來會面臨很大的代價,也只能通過媒體盡量曝光,讓意識到的用戶重新下載證書并自行修改密碼了。

        由于“心臟出血”漏洞的廣泛性和隱蔽性,未來幾天可能還將會陸續(xù)有問題爆出。在互聯(lián)網(wǎng)飛速發(fā)展的今天,一些協(xié)議級、基礎(chǔ)設施級漏洞的出現(xiàn),可能會打擊人們使用互聯(lián)網(wǎng)的信心,但客觀上也使得問題及時暴露,在發(fā)生更大的損失前及時得到彌補。作為身處其中的個人,主動應變、加強自我保護,可能比把安全和未來全部托付出去要負責任一些。

        河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年,專注服務器托管租用,是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網(wǎng)站建設、網(wǎng)站托管等網(wǎng)絡基礎(chǔ)服務,另有網(wǎng)總管、名片俠網(wǎng)絡推廣服務,使得客戶不斷的獲得更大的收益。
        服務器/云主機 24小時售后服務電話:0371-60135900
        虛擬主機/智能建站 24小時售后服務電話:0371-55621053
        網(wǎng)絡版權(quán)侵權(quán)舉報電話:0371-60135995
        服務熱線:0371-60135900

        0
        0
        分享到:責任編輯:阿柳

        相關(guān)推介

        共有:0條評論網(wǎng)友評論:

        驗證碼 看不清換一張 換一張

        親,還沒評論呢!速度搶沙發(fā)吧!