掃碼支付
OpenSSL大漏洞“heartbleed” 國內多家網(wǎng)站已修復
核心提示:“4月8日是黑客和白帽子們的不眠之夜?!庇腥诉@樣形容。早上還在討論WIN XP停止服務(wù),到晚上已到處是OpenSSL的漏洞消息。
OpenSSL是為網(wǎng)絡(luò )通信提供安全及數據完整性的一種安全協(xié)議,在各大網(wǎng)銀、在線(xiàn)支付、電商網(wǎng)站、門(mén)戶(hù)網(wǎng)站、電子郵件等廣泛使用。就是這個(gè)被許多企業(yè)和服務(wù)商用來(lái)加密數據的安全協(xié)議,爆出了本年度最嚴重的安全漏洞——黑客可以利用這個(gè)漏洞從服務(wù)器內存中竊取64KB數據,64KB數據量并不大,但黑客可以重復利用該漏洞,多次竊取數據,并可能因此獲得用戶(hù)的加密密鑰,解密敏感數據。
打個(gè)比方,OpenSSL是目前互聯(lián)網(wǎng)上應用最廣“門(mén)鎖”,而這個(gè)漏洞讓特定版本的OpenSSL成了不設防的保險箱。
驚現安全漏洞
黑客、白帽子們忙了一夜
“(這個(gè)消息)我們最初是在海外論壇上看到的,很快傳回了國內。”金山首席安全專(zhuān)家李鐵軍說(shuō),4月7日(美國當地時(shí)間)有黑客公布了舊版本OpenSSL的安全漏洞,“因為漏洞機制描述得非常詳細,很快就在圈內傳開(kāi)了。”
漏洞的發(fā)布在一個(gè)相當危險的時(shí)間點(diǎn)——黑客們已經(jīng)紛紛出動(dòng),而一些公司的負責人卻正在睡覺(jué)。發(fā)現者們給這個(gè)漏洞起了個(gè)相當形象的名字“heartbleed”,直譯為“心臟出血”。這一夜,互聯(lián)網(wǎng)的安全核心,開(kāi)始滴血。
黑客、白帽子們、運維主管、安全廠(chǎng)商們,聞著(zhù)“血”而動(dòng):他們有的開(kāi)始狂歡,逐一進(jìn)入戒備森嚴的網(wǎng)站,收集泄露數據;有的開(kāi)始測試有多少網(wǎng)站受到影響以及推出檢測腳本;有的在統計漏洞信息,還要準備說(shuō)服客戶(hù),解釋問(wèn)題的嚴重性;有的連夜開(kāi)始緊急預警修復升級系統版本;WooYun漏洞平臺上很多白帽子開(kāi)始對大范圍網(wǎng)站進(jìn)行了測試刷分,場(chǎng)面頗為壯觀(guān)……而普通網(wǎng)民們卻毫不知情。
“很快,甚至有黑客發(fā)布了舊版本OpenSSL的‘傻瓜攻擊’。”李鐵軍解釋說(shuō),這意味著(zhù)非專(zhuān)業(yè)技術(shù)人員只要依樣畫(huà)葫蘆就能利用漏洞從服務(wù)器內竊取數據。
“收到這個(gè)漏洞后我們起初測試了支付寶,確認存在此漏洞,發(fā)起檢測。之后我們又發(fā)現雅虎門(mén)戶(hù)主頁(yè)、微信公眾號、微信網(wǎng)頁(yè)版、YY語(yǔ)言、淘寶、網(wǎng)銀、陌陌、社交、門(mén)戶(hù)網(wǎng)站存在此漏洞。”網(wǎng)友Evi1m0在知乎上透露,“在一個(gè)社交網(wǎng)站中我獲取到了用戶(hù)登錄的帳號以及密碼甚至是安全問(wèn)題與答案。這里的密碼使用的明文傳輸,以至于通過(guò)這樣的漏洞攻擊,我成功地登錄了上百個(gè)賬戶(hù),當然我什么都沒(méi)做,出于測試而已。”
國內知名網(wǎng)站幾無(wú)幸免
目前支付寶、淘寶已修復漏洞
這個(gè)漏洞影響究竟有多大?安全專(zhuān)家們不約而同地推薦參考zoomeye(鐘馗之眼)的掃描數據,這是一個(gè)網(wǎng)絡(luò )空間搜索引擎,業(yè)界公認的權威。根據zoomeye系統掃描,中國全境至少有33303臺服務(wù)器受本次OpenSSL漏洞影響。網(wǎng)易(67.91, 0.71, 1.06%)、微信、QQ郵箱、陌陌、雅虎、比特幣中國、支付寶、知乎、淘寶網(wǎng)、360應用、京東、YY語(yǔ)言……從消費到通訊、社交,國內知名網(wǎng)站幾乎無(wú)一幸免。而很多用戶(hù)毫不知情,仍然在訪(fǎng)問(wèn)著(zhù)老虎嘴中的站點(diǎn)。
幸好,官方很快發(fā)布了漏洞的修復方案:因為這是一個(gè)舊版本OpenSSL的安全漏洞,開(kāi)發(fā)者把服務(wù)器程序升級到OpenSSL1.0.1g可以解決。
“目前騰訊幾大產(chǎn)品線(xiàn)已經(jīng)都升級修復了,而且反復進(jìn)行了掃描,確保漏洞已經(jīng)被修復。”騰訊相關(guān)負責人表示,在騰訊相關(guān)的產(chǎn)品業(yè)務(wù)如郵箱、財付通、QQ、微信等都已經(jīng)可以放心使用。
“阿里旗下網(wǎng)站已經(jīng)都沒(méi)有問(wèn)題了。”阿里集團相關(guān)負責人也表示,技術(shù)部門(mén)一得到漏洞消息就連夜進(jìn)行了版本升級,修復了漏洞。目前支付寶、淘寶、天貓都可以正常使用。
截止記者發(fā)稿時(shí),包括支付寶、淘寶、微信、QQ平臺、網(wǎng)易、12306鐵路客戶(hù)服務(wù)中心等在內大型網(wǎng)站已修復漏洞。
應對未知風(fēng)險
安全專(zhuān)家給出兩條建議
互聯(lián)網(wǎng)門(mén)戶(hù)洞開(kāi)的“驚魂一夜”過(guò)去了,從開(kāi)始到基本結束,絕大多數網(wǎng)友都一無(wú)所知。
我們安全了嗎?
從zoomeye系統的掃描結果看,比33303臺服務(wù)器受漏洞影響更讓人擔心的是:這些服務(wù)器有的在銀行網(wǎng)銀系統中;有的部署在第三方支付里;有的在大型電商網(wǎng)站;有的在網(wǎng)絡(luò )郵箱、即時(shí)通訊系統中……
“特別是現在互聯(lián)網(wǎng)金融和第三方支付的發(fā)展非常迅速,這意味著(zhù)以前用銀行卡、POS機進(jìn)行的交易都將逐漸轉移到互聯(lián)網(wǎng)上,這對網(wǎng)絡(luò )安全提出了越來(lái)越高的要求。”李鐵軍坦承比用戶(hù)端更不可控的是服務(wù)端,如果黑客入侵了服務(wù)器,受損的遠不止公司一個(gè)個(gè)體,還包括存放于公司數據庫的大量用戶(hù)敏感資料。
“這個(gè)漏洞據說(shuō)早在2012年就被挖掘出來(lái),直到昨天CVE納入編號CVE-2014-0160,8號才正式爆發(fā)。”Evi1m0也在知乎上透露,“使用HTTPS的網(wǎng)站大多是因為數據需加密防止嗅探等攻擊的發(fā)生,漏洞爆發(fā)后徹底將這層大門(mén)打破,于是很多網(wǎng)站處于被監聽(tīng)的狀態(tài)中。”
兩年多時(shí)間,誰(shuí)也不知道是否已經(jīng)有黑客利用漏洞獲取了用戶(hù)資料;而且由于該漏洞即使被入侵也不會(huì )在服務(wù)器日志中留下痕跡,所以目前還沒(méi)有辦法確認哪些服務(wù)器被入侵,也就沒(méi)法定位損失、確認泄漏信息,從而通知用戶(hù)進(jìn)行補救。
“最近兩天不要登錄未修復的服務(wù)器,以免自投羅網(wǎng),即使想要修改用戶(hù)名或密碼也等幾天再改。”幾位安全專(zhuān)家給出的建議都很一致。因為最近幾天網(wǎng)友登錄一些關(guān)鍵服務(wù)網(wǎng)站,若網(wǎng)站未完成漏洞修復,登錄信息就可能被黑客遠程捕獲。
盡管zoomeye的掃描結果及涉及名單已經(jīng)被提交給國家互聯(lián)網(wǎng)應急中心,按照流程應由后者進(jìn)行全國預警,但截止記者發(fā)稿時(shí),在國家互聯(lián)網(wǎng)應急中心官網(wǎng)上尚無(wú)相關(guān)信息發(fā)布。
事實(shí)上,除了移動(dòng)、聯(lián)通等這些大型企業(yè)外,國家互聯(lián)網(wǎng)應急中心也沒(méi)有強制力確保其他公司看到預警內容,舊版本OpenSSL的安全漏洞修復時(shí)間是個(gè)不確定值。
對于普通用戶(hù)怎么辦呢?除了在確認有關(guān)網(wǎng)站安全之前,不要使用網(wǎng)銀、電子支付和電商購物等功能,以避免用戶(hù)密碼被漏洞后的黑客捕獲外。
安全專(zhuān)家們給出了兩條建議:一是對重要服務(wù),盡可能開(kāi)通手機驗證或動(dòng)態(tài)密碼,比如支付寶、郵箱等。登錄重要服務(wù),不僅僅需要驗證用戶(hù)名密碼,完美綁定手機,加手機驗證碼登錄。這樣就算黑客拿到賬戶(hù)密碼,登錄還有另一道門(mén)檻。二是如果隨著(zhù)事件進(jìn)展,可能受累及的網(wǎng)絡(luò )服務(wù)在增加或更明確,建議用戶(hù)修改重要服務(wù)的登錄密碼。而且一個(gè)密碼的使用時(shí)間不宜過(guò)長(cháng),超過(guò)3個(gè)月就該換掉了。
