安全

最近爆出了大面积的网站漏洞,是关于openSSL的。

openSSL被主流的web server (nginx, apache)作为一种数据加密传输服务广泛应用,其大量网站使用ssl后就可以有效预防数据包嗅探。然而这次正好是使用了openSSL 1.01 以上版本(不包括刚更新的1.01 g)的网站因为这个漏洞泄露多达64kb的内存信息,其中包括了登陆密码、支付密码、个人隐私、证件和银行卡号码。

一夜之间大量用户隐私被泄露,连淘宝都未能幸免。 截止到现在,白帽子和黑帽子都在连夜加班, 有的上乌云刷分, 有的利用这个漏洞大量窃取机密资料牟利。

这个漏洞造成的影响目前来看主要是通过获取隐私,随机登陆用户,如果被黑产人员利用起来,用户账户有余额就可以消费掉,黑产人员若登陆赌博网站就可以把随机用户的钱输给自己想要的账号,从危害性上来看还属于中等,并不算高危,但是对于黑客来说更多的玩法也只是时间问题, 所以绝对不可以小视。

有趣的是,没用openSSL的网站或者是没有更新openSSL(很多网站还在open ssl 0.9.6时代)的却侥幸逃过了一劫。

那么对于普通用户应该怎么做呢?这两天请尽量避免登陆淘宝或京东等有可能造成经济损失的网站,直到官方宣布漏洞已经被补上后再进行登陆。如果已经登陆了,那么就得联系官方修改资料,锁定账号,否则就有可能造成经济损失。

这次“心脏出血”是一个全球性的网络安全事件,从其代号“心脏流血”(Heartbleed)即可看出。漏洞大概是这样的:OpenSSL是目前互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议),很多电商、支付类接口、社交、门户网站都在应用此协议,但在某一个版本的设计和迭代时,因程序员的疏忽导致遗留下一个安全漏洞,而且,这个漏洞在长达两年的时间内没有被发现,直到最近。

“心脏流血”漏洞的危害很明显,它可以使不法之徒借漏洞盗取网民在特定网站的各种密码,包括网银。漏洞爆出后,产生两种后果,一是大量网站闻知立刻采取紧急修复措施;二是黑客也知道了这一消息,与网站赛跑趁机窃取信息。所谓道高一尺魔高一丈,不管网站修复的多迅速,但企业反映总是有个过程,在此过程中,很可能已经有信息失窃,更何况,还有大量安全意识差的网站没有第一时间修复漏洞。

还有一个都在担心,却无法在短期内证实的隐忧:长达两年的时间里,这个漏洞一直存在,会否有黑客早已悄悄的发现了这个漏洞,并已经采取了盗秘行动呢?

以上这几种后果,无论哪一种属实,都会在未来给网民造成严重损失,可能发生在明天,也可能发生在下个月,乃至明年,从这个角度说,对“心脏出血”保持高度警惕绝非杞人忧天。

网民的旁观与无动于衷,其实正反映出当下真实的网络安全意识现状。互联网飞速发展十几年,但从全球范围讲,危害大到足够震撼全社会的网络安全事件还一件都没有。安全是需要用户付出额外代价的,比如更换密码、记住密码就很麻烦,没有经受过切肤之痛,人们很难真正对网络安全重视起来。

这次“心脏出血”事件有可能会产生地震级的网络灾难,也有可能因为补救及时而幸运地平滑而过,但随着人们把越来越多的信息与财富放在网上,而防范意识又无法真正提高,早晚都难免会发生一起灾难性的网络安全大事件,这不是预言,这是宿命。

做好网络安全,网站有重要责任,但单靠网站单方面的升级与打补丁无济于事,网络安全更是每个人自己的事情,关注安全信息,定期安全密码,增加安全验证等等,这看起来很麻烦,但与互联网所带来便利相比,其实不算什么,就当做为享受互联网而支付的代价吧。