《企業(yè)網(wǎng)D1Net》4月16日訊
近日來(lái),“心臟出血”已經(jīng)成為各大網(wǎng)站的頭版頭條,自4月8號(hào),互聯(lián)網(wǎng)基礎(chǔ)組件OpenSSL安全漏洞的爆出,這一被命名為“心臟出血”的漏洞,讓攻擊的黑客、維護(hù)網(wǎng)絡(luò)安全的“白帽子”、修復(fù)升級(jí)系統(tǒng)版本的互聯(lián)網(wǎng)公司等紛紛聞“血”而動(dòng),網(wǎng)民則在毫不知情的情況下訪問(wèn)著已處于“裸奔”狀態(tài)的站點(diǎn)。據(jù)統(tǒng)計(jì),僅7日、8日期間,就有共計(jì)約2億網(wǎng)友訪問(wèn)了存在OpenSSL漏洞的網(wǎng)站。
門(mén)鎖成廢鎖,“心臟出血”讓互聯(lián)網(wǎng)現(xiàn)傷口
在互聯(lián)網(wǎng)的世界里,“漏洞”從來(lái)都不是一個(gè)低曝光率的詞,這一次,爆出漏洞的是互聯(lián)網(wǎng)基礎(chǔ)組件OpenSSL。
OpenSSL是什么?“SSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議,也是一種流行的加密技術(shù),可以保護(hù)用戶(hù)通過(guò)互聯(lián)網(wǎng)傳輸?shù)碾[私信息。”360安全專(zhuān)家安揚(yáng)告訴記者,“OpenSSL是基于SSL的開(kāi)源免費(fèi)軟件,由于免費(fèi)和易用,是目前互聯(lián)網(wǎng)上應(yīng)用最廣泛的安全傳輸方法。”形象地說(shuō),OpenSSL可以看作互聯(lián)網(wǎng)上銷(xiāo)量最大的“門(mén)鎖”,此次爆出的漏洞,讓特定版本的OpenSSL成為無(wú)需“鑰匙”即可開(kāi)啟的“廢鎖”。這個(gè)漏洞被命名為“心臟出血”。
“心臟出血”是如何影響互聯(lián)網(wǎng)安全的呢?有專(zhuān)家表示,“心臟出血”是OpenSSL源代碼出現(xiàn)的一個(gè)漏洞,這個(gè)漏洞的本質(zhì)是內(nèi)存泄漏。這一漏洞的存在,可以讓攻擊者獲得服務(wù)器返回的64KB的內(nèi)存數(shù)據(jù)。這部分?jǐn)?shù)據(jù)中,可能存有安全證書(shū)、用戶(hù)名與密碼、電子郵件以及重要的商業(yè)文檔等數(shù)據(jù)。雖然攻擊者每次只能翻檢64KB大小的信息,但只要他有足夠的耐心和時(shí)間,就能找出足夠多的數(shù)據(jù)以拼湊完整的數(shù)據(jù)信息。
在國(guó)家信息安全漏洞共享平臺(tái)(CNVD)上,該漏洞的綜合評(píng)級(jí)為“高危”。由CNVD組織完成的多個(gè)測(cè)試實(shí)例表明,根據(jù)對(duì)應(yīng)OpenSSL服務(wù)器承載業(yè)務(wù)類(lèi)型,攻擊者一般可獲得用戶(hù)實(shí)時(shí)連接的用戶(hù)賬號(hào)密碼、會(huì)話Cookies等敏感信息,進(jìn)一步可直接取得相關(guān)用戶(hù)權(quán)限,竊取私密數(shù)據(jù)或執(zhí)行非授權(quán)操作。一位安全行業(yè)人士親自驗(yàn)證后透露,他在某著名電商網(wǎng)站用“心臟出血”漏洞嘗試讀取數(shù)據(jù),在讀取200次后,獲得了40多個(gè)用戶(hù)名、7個(gè)密碼,用這些密碼,他成功登錄了該網(wǎng)站。
360安全專(zhuān)家石曉虹表示,此次OpenSSL漏洞堪稱(chēng)“網(wǎng)絡(luò)核彈”,很多隱私信息都存儲(chǔ)在網(wǎng)站服務(wù)器的內(nèi)存中,無(wú)論用戶(hù)電腦多么安全,只要網(wǎng)站使用了存在漏洞的OpenSSL版本,用戶(hù)登錄該網(wǎng)站時(shí)就可能被黑客實(shí)時(shí)監(jiān)控到登錄賬號(hào)和密碼。
安揚(yáng)表示,OpenSSL漏洞風(fēng)險(xiǎn)極高,不僅普通網(wǎng)民受到影響,而且很多核心機(jī)構(gòu)和各大公司集團(tuán)也正在遭遇一場(chǎng)信息安全危機(jī)。
D1Net評(píng)論:
“心臟出血”凸顯網(wǎng)絡(luò)安全之殤,然而,在多數(shù)人認(rèn)為此漏洞危害十分嚴(yán)重的同時(shí),也有一部分認(rèn)為對(duì)于此事件不應(yīng)大驚小怪,他們認(rèn)為“心臟出血”漏洞有被夸大的嫌疑,網(wǎng)民不必過(guò)分擔(dān)心。但是,從客觀上說(shuō),網(wǎng)絡(luò)安全無(wú)小事,任何安全漏洞都能夠引發(fā)互聯(lián)網(wǎng)大災(zāi)難,切不可掉以輕心。