◆XP退役危機(jī)
2014年4月8日,微軟停止對(duì)XP系統(tǒng)的服務(wù)。雖然國(guó)內(nèi)相關(guān)安全廠商已經(jīng)爭(zhēng)相承諾會(huì)繼續(xù)為XP系統(tǒng)用戶提供安全保護(hù)。但是,漏洞的修補(bǔ)是一個(gè)系統(tǒng)永遠(yuǎn)無(wú)法避免的事情。由于XP系統(tǒng)已經(jīng)失去了官方的補(bǔ)丁更新,因此一旦將來(lái)發(fā)現(xiàn)新的安全漏洞,第三方廠商是無(wú)法做到從根本上保護(hù)系統(tǒng)的安全。新的安全漏洞仍然可能影響我們的正常使用,甚至讓系統(tǒng)感染上病毒和木馬,危及個(gè)人隱私、賬號(hào)密碼及資料數(shù)據(jù)的安全。更有甚者,電腦可能被黑客入侵,用來(lái)構(gòu)造攻擊跳板,對(duì)其他電腦發(fā)起惡意攻擊??傊?,我們的信息安全將存在巨大的隱患。
◆“心臟出血”的警示
就在XP系統(tǒng)“退役”的同一天,OpenSSL的一個(gè)重大漏洞被曝光。漏洞的發(fā)現(xiàn)者給這個(gè)漏洞起了一個(gè)形象的名字叫“心臟出血”。一個(gè)本來(lái)用于安全加密的協(xié)議,卻出現(xiàn)如此重大的安全隱患,讓整個(gè)互聯(lián)網(wǎng)世界再起波瀾。
OpenSSL 是一個(gè)強(qiáng)大的安全套接字層密碼庫(kù),囊括主要的密碼算法、常用的密鑰和證書封裝管理功能及SSL協(xié)議。由于簡(jiǎn)單、方便的特性,目前已經(jīng)成為互聯(lián)網(wǎng)上應(yīng)用最廣泛的安全傳輸方法。
OpenSSL 在平時(shí)就像是一個(gè)鎖為我們?cè)诨ヂ?lián)網(wǎng)上的信息安全提供保護(hù),但這次出現(xiàn)的重大漏洞可以使得攻擊者構(gòu)造出一個(gè)特殊的數(shù)據(jù)包,從而繞過(guò)這把鎖,直接讀取服務(wù)器內(nèi)存中多達(dá)64K的數(shù)據(jù)。
現(xiàn)在,據(jù)有關(guān)安全廠商進(jìn)一步分析發(fā)現(xiàn),這個(gè)漏洞不僅影響了https開頭的網(wǎng)址,還間接影響使用OpenSSL代碼的一些產(chǎn)品和服務(wù),比如,VPN、郵件系統(tǒng)、FTP工具等,甚至還涉及到其他一些安全設(shè)施的源代碼。可見,這次漏洞的危害性之大實(shí)在令人心驚。
◆信息安全 何去何從
國(guó)內(nèi)安全專家其實(shí)早有指出,應(yīng)對(duì)“XP退役”最好的辦法就是推出我們自己的操作系統(tǒng),以此來(lái)接管XP系統(tǒng)用戶的服務(wù)支撐。然而,我們的國(guó)產(chǎn)操作系統(tǒng)此時(shí)卻是集體失聲。就在幾個(gè)月前的2月10日,國(guó)產(chǎn)知名操作系統(tǒng)之一“中科紅旗”卻被宣布正式解散,這樣的結(jié)果實(shí)在讓人不勝唏噓。
現(xiàn)今,XP系統(tǒng)已然退役,面對(duì)越來(lái)越突出的信息安全問題,我們必須要采取相關(guān)的防范措施。對(duì)于普通用戶,可以給出如下幾條安全建議:
1、更新系統(tǒng)本身所需全部安全補(bǔ)丁。
2、選擇一款正版殺毒軟件,并安裝個(gè)人版防火墻。
3、禁止不必要的系統(tǒng)服務(wù),卸載不必要的軟件。
4、使用最新版本的瀏覽器。
5、做好系統(tǒng)備份工作,一旦出現(xiàn)問題即可快速恢復(fù)。
不過(guò)在日常應(yīng)用中,大多數(shù)用戶不可避免的都存在一些敏感的操作,如賬號(hào)登陸、支付充值等各個(gè)方面。因而從信息安全的長(zhǎng)遠(yuǎn)角度出發(fā),只有盡快的升級(jí)系統(tǒng),才能讓我們真正的做到避免或者減少可能的系統(tǒng)漏洞隱患。
OpenSSL 的漏洞雖然影響廣泛,但是現(xiàn)在各大門戶網(wǎng)站、銀行、電商等都已經(jīng)對(duì)存在漏洞的服務(wù)器進(jìn)行了修復(fù),因此對(duì)于這些重要網(wǎng)站的安全我們也不必過(guò)分擔(dān)憂。但有一部分小型網(wǎng)站,由于技術(shù)實(shí)力有限,無(wú)法做到及時(shí)的修復(fù)。所以我們?cè)诖_認(rèn)有關(guān)網(wǎng)站的安全之前,暫時(shí)就不要去這樣的網(wǎng)站登錄賬號(hào)。尤其是很多在不同網(wǎng)站都使用同一個(gè)密碼的人更要注意,防止一個(gè)小型網(wǎng)站因防護(hù)不到位造成密碼泄漏,間接危害到重要網(wǎng)站的安全。
但據(jù)此我們還不能掉以輕心,因?yàn)閾?jù)相關(guān)安全專家透露,該漏洞其實(shí)已經(jīng)存在兩年之久。這么長(zhǎng)的時(shí)間里,誰(shuí)也不知道是否已經(jīng)有黑客利用該漏洞竊取了數(shù)據(jù)。并且由于使用此漏洞的入侵并不會(huì)留下痕跡,從而使得是否被入侵過(guò)我們也都無(wú)從知曉。因此一些對(duì)于我們信息安全非常重要的網(wǎng)站,最好還是考慮更換一下的登錄密碼或是增加動(dòng)態(tài)密碼驗(yàn)證的功能,防止可能出現(xiàn)的風(fēng)險(xiǎn)。
在互聯(lián)網(wǎng)技術(shù)日新月異的今天,不管是操作系統(tǒng),還是網(wǎng)絡(luò)協(xié)議,新的安全漏洞總是會(huì)不斷發(fā)生。對(duì)于個(gè)人信息安全的防護(hù),不能只寄希望于法律的監(jiān)管和安全管理技術(shù)的提高,平時(shí)多提高自我的防護(hù)意識(shí)也是應(yīng)對(duì)安全風(fēng)險(xiǎn)的一個(gè)關(guān)鍵因素。