《企業(yè)網(wǎng)D1Net》4月16日訊
4月8日,雖然已經(jīng)過去很多天了,但是人們對這一天仍然記憶猶新,就在這天,一個代號“心臟出血”的重大互聯(lián)網(wǎng)安全漏洞被國外黑客曝光。這次發(fā)生漏洞的是國際著名安全協(xié)議OpenSSL,目前世界上大概有三分之二的網(wǎng)絡(luò)服務(wù)器正在使用,包括購物、網(wǎng)銀、社交、郵箱等。OpenSSL,是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議,有人將其形容為“互聯(lián)網(wǎng)上銷量最大的鎖”。這把鎖出問題了,整個互聯(lián)網(wǎng)可能都會坍塌掉。
隨后,黑客們和網(wǎng)絡(luò)安全漏洞的檢測者們都度過了一個不眠之夜。而截止到4月10日,在全國3萬多個存在漏洞的網(wǎng)站中,依然有近30%沒有采取任何措施。
據(jù)統(tǒng)計(jì),在4月7日~8日兩天時(shí)間,共計(jì)約2億網(wǎng)民訪問了存在漏洞的網(wǎng)站。也就是說,他們登錄服務(wù)器時(shí)顯示的用戶名、密碼和信用卡等信息,很有可能會被人盜取。奇虎360副總裁兼首席隱私官譚曉生說:“我們對120萬個網(wǎng)站進(jìn)行掃描,這中間發(fā)現(xiàn)有一萬多個網(wǎng)站其實(shí)是會受到這件事情的影響。”9日上午,360網(wǎng)站衛(wèi)士的OpenSSL漏洞檢測平臺發(fā)現(xiàn),北京大學(xué)和清華大學(xué)某項(xiàng)網(wǎng)絡(luò)服務(wù)也存在OpenSSL安全協(xié)議漏洞,同時(shí)也監(jiān)測到了有來自北京聯(lián)通的一個IP針對這些服務(wù)進(jìn)行漏洞探測,360緊急通知清華大學(xué)和北京大學(xué)進(jìn)行修復(fù)。
所幸的是,這次公布的漏洞對銀行U盾沒有影響,U盾完全可以放心使用。網(wǎng)民在這一重大網(wǎng)絡(luò)安全事件面前沒有太多處置的余地,唯一的有效措施就是及時(shí)修改登錄密碼,但前提是要確認(rèn)所登錄的網(wǎng)站已經(jīng)對此次漏洞進(jìn)行了修復(fù)。但是,大大小小的網(wǎng)站,包括京東、淘寶這樣的大網(wǎng)站,自始至終都沒有在網(wǎng)站中提及任何與漏洞相關(guān)的風(fēng)險(xiǎn)信息。
4月10日晚,在針對這一漏洞的《新聞1+1》專題新聞節(jié)目中,央視主持人白巖松發(fā)出了這樣的疑問,互聯(lián)網(wǎng)快速走進(jìn)我們的生活,帶來新的巨大便利的同時(shí),也帶來新的巨大不安全感,從國家的戰(zhàn)略和技術(shù)的層面上來說,怎樣去防范這種非常新型的不安全?
網(wǎng)絡(luò)安全本身是一個動態(tài)調(diào)整的過程,沒有一招制敵的方案,也不是哪一方可以獨(dú)立解決的,最重要的是構(gòu)建一個網(wǎng)絡(luò)安全防范體系,包括體制機(jī)制設(shè)計(jì)、政策法律設(shè)計(jì)、技術(shù)能力、人員水平,等等。中國計(jì)算機(jī)學(xué)會信息安全專業(yè)委員會主任嚴(yán)明認(rèn)為,國家互聯(lián)網(wǎng)應(yīng)急中心等機(jī)構(gòu)有責(zé)任針對各種網(wǎng)絡(luò)安全漏洞及時(shí)發(fā)布信息,通知有關(guān)用戶來更新,同時(shí)提醒廣大民眾要注意這種威脅。
由于OpenSSL軟件本身就是一款著名的開源軟件,OpenSSL漏洞也給了信息產(chǎn)業(yè)一個重要的警示,基于Linux等開源項(xiàng)目開發(fā)的操作系統(tǒng)等國產(chǎn)軟件,一定不能單打獨(dú)斗,而是要加強(qiáng)協(xié)同,并盡量從機(jī)制上解決協(xié)同過程中的安全問題。正如ISC COO David Shearer所說,“開源軟件開發(fā)里協(xié)作性所帶來的安全問題是決定整個軟件生命周期的重要因素之一。”
這次漏洞事件之所以影響巨大,問題出在小長假剛過,很多網(wǎng)站的網(wǎng)管人員來不及做出升級系統(tǒng)的反應(yīng),這給了黑客以可乘之機(jī)。而令人震驚的是,如果數(shù)以萬計(jì)的網(wǎng)站都做不到及時(shí)的軟件升級,這意味著我國互聯(lián)網(wǎng)產(chǎn)業(yè)的整體安全現(xiàn)狀是極其脆弱的。
用戶在互聯(lián)網(wǎng)上享受著各種各樣的服務(wù),而互聯(lián)網(wǎng)服務(wù)商由于技術(shù)、管理的不同,造成對漏洞響應(yīng)和分享是有時(shí)間延遲的。比如2013年Adobe公司的用戶信息泄露,造成超過290萬的客戶信息被盜,這些信息的披露延遲了兩個多月,逐漸地波及到金融和其他行業(yè)。
如何能快速有效地應(yīng)對身份信息的泄露風(fēng)險(xiǎn)?眾多專家認(rèn)為還是要著眼于技術(shù)的創(chuàng)新與進(jìn)步。徐海光指出,在不改變現(xiàn)有在線服務(wù)商(銀行、互聯(lián)網(wǎng)公司)的安全體系基礎(chǔ)上,附加第三方的雙通道安全認(rèn)證方式是可行的,比如目前OpenSLL漏洞造成的用戶信息泄露,如果有了用戶手上的設(shè)備作為第二把鑰匙的保護(hù),黑客即使獲取了用戶賬號及密碼,也無法冒名頂替通過身份認(rèn)證。同時(shí),第三方的服務(wù)方式,在技術(shù)反應(yīng)時(shí)間上可以提供高效的安全保障,不存在時(shí)間延遲風(fēng)險(xiǎn)。在服務(wù)商系統(tǒng)快速完成升級后,用戶再對賬戶密碼進(jìn)行修改,即可達(dá)到更高的安全水平。
D1Net評論:
雖然已經(jīng)過去很多天了,但是OpenSSL漏洞陰霾依然籠罩著整個互聯(lián)網(wǎng)領(lǐng)域,這次事件也引起我們對網(wǎng)絡(luò)安全的思考:究竟網(wǎng)絡(luò)安全出路在何方?對于這個問題的回答,并不是某個人或者某個安全廠商就能做到的,需要政府牽頭,社會各界共同努力。