專家稱:OpenSSL正趨可控

責任編輯:鄧旖

2014-04-12 10:12:36

摘自:新華網(wǎng)

4月8日,常用于電商、支付類接口等安全性極高網(wǎng)站的網(wǎng)絡安全協(xié)議OpenSSL被曝存在高危漏洞,眾多使用https的網(wǎng)站均受影響,大量用戶信息陷于“裸奔”,引發(fā)網(wǎng)民恐慌。記者采訪了解到,在網(wǎng)站和安全廠商的協(xié)作下,三分之一受影響的網(wǎng)站已完成修復,使眾多網(wǎng)友陷入恐慌的“心臟失血”正趨于可控……

4月8日,常用于電商、支付類接口等安全性極高網(wǎng)站的網(wǎng)絡安全協(xié)議OpenSSL被曝存在高危漏洞,眾多使用https的網(wǎng)站均受影響,大量用戶信息陷于“裸奔”,引發(fā)網(wǎng)民恐慌。記者采訪了解到,在網(wǎng)站和安全廠商的協(xié)作下,三分之一受影響的網(wǎng)站已完成修復,使眾多網(wǎng)友陷入恐慌的“心臟失血”正趨于可控。


面對此次被稱為“心臟出血”的高危漏洞,中國計算機學會計算機安全專業(yè)委員會主任嚴明說,這個漏洞是地震級別的,就像家里的門很堅固也鎖好了,但是發(fā)現(xiàn)窗戶虛掩著。

南京翰海源信息技術(shù)有限公司創(chuàng)始人方興表示,此漏洞并不是因為算法被攻破,而是由于程序員在設計時沒有做長度檢查而產(chǎn)生漏洞,其危害性不容小覷。

北京知道創(chuàng)宇信息技術(shù)有限公司研究部總監(jiān)余弦坦言,問題在于這個漏洞出現(xiàn)于2012年,至今兩年多,誰也不知道是否已經(jīng)有黑客利用漏洞獲取了用戶資料;該漏洞即使被入侵也不會在服務器日志中留下痕跡,所以目前還沒有辦法確認哪些服務器被入侵,也就沒法定位損失、確認泄露信息。

目前看來,該漏洞確已被很多黑客利用。網(wǎng)絡安全領域資深人士透露,由于OpenSSL漏洞的出現(xiàn),在8日、9日地下交易市場中,各種兜售非法數(shù)據(jù)的交易顯得異?;鸨?,比如一份某省工程類人員的信息數(shù)據(jù),清晰顯示出大量人員的姓名、身份證號碼等。北京知道創(chuàng)宇信息技術(shù)有限公司首席執(zhí)行官楊冀龍說,目前的監(jiān)測顯示,某寶的網(wǎng)站被黑客盜取了1T的內(nèi)存,雅虎郵箱的大量賬戶密碼也曝已經(jīng)泄露。

面對“地震級”漏洞,各網(wǎng)站和安全廠商均采取緊急措施,目前整體形勢已趨于可控。

專家指出,即使用戶之前登陸的網(wǎng)站發(fā)生泄密,因為黑客掌握的賬號密碼的數(shù)量龐大,短時間內(nèi)無法消化使用,所以對于單個用戶而言盡快更改密碼設置是非常必要的。但是,對于一些郵箱類網(wǎng)站,即使更改密碼可能也無濟于事,因為如果黑客已經(jīng)偷走了cookie緩存,用這個可以直接登錄郵箱。建議用戶對郵箱再登陸一次,然后點擊退出登陸,減少風險。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號