首页 网店学院 网店资讯 网店问答 专栏 店铺装修 拼多多入驻 虾皮入驻 推广返佣
    甩手网 > 网店资讯 > 行业资讯

    什么是OpenSSL,互联网"心脏"出现大安全漏洞,账号密码遭泄露

    2014-04-10 15:39:25 人气:3974

    从2001年8月24日正式发布到今天,XP陪着许多人走过了十三年的岁月风雨,不管是在操作系统还是软件行业,这是一款伟大的产品,都是我们这个时代的额福利。在WindowsXP停服的同一天,网络安全协议OpenSSL曝出安全漏洞,危及全球包括银行、电商在内关键部门和普通用户财产和信息安全。这一漏洞一旦被恶意利用,意味着用户登录电商、网银的账户、密码等关键信息可能会泄露,造成财产损失。

    什么是OpenSSL,互联网心脏出现大漏洞,劝停网

    波及无数

    中国3万多端口受影响

    4月8日,在全球范围内,互联网发生了两件大事,分别是:微软正式宣布XP停止服务退役;OpenSSL的大漏洞曝光。如果说XP停服存隐忧的话,那么第二件事带来的威胁则近在咫尺,用户的信息安全和财产安全已直接受到威胁。

    ZoomEye最新完成的扫描数据显示,中国160万个443端口中,已有3.3万个受本次OpenSSL漏洞影响。在国外,受到波及的网站也数不胜数,连NASA(美国航空航天局)也已宣布,用户数据库遭泄露。

    安天实验室首席架构师肖新光发出警告说,“这一次,狼真的来了”。

    谁受影响

    以https开头所有站点

    一位安全行业人士透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。

    北京知道创宇信息技术有限公司研究部总监钟晨鸣表示,此次漏洞会影响为数众多的使用https的网站,其中包括公众熟知并且经常访问的微信、淘宝、各个网银、社交、门户等知名网站还有邮箱。而且越是知名的大网站,越容易受到不法分子利用漏洞进行攻击。

    据介绍,这一漏洞由安全公司Codenomicon和谷歌安全工程师独立发现。发现者们给这个漏洞起了个形象的名字:heartbleed——心脏出血。

    “这个漏洞是地震级别的。”中国计算机学会信息安全专业委员会主任严明说,目前受害的用户具体数字还难以知晓,要到过后才能统计出来。“打个形象的比喻,就像家里的门很坚固也锁好了,但是发现窗户虚掩着。”

    存在两年

    损失多大无法确认

    这一漏洞被曝出后,全球的“黑客”与安全保卫者们展开了竞赛。“黑客”不停地试探各类服务器,试图从漏洞中抓取到尽量多的用户数据;安全保卫者则在尽可能短的时间里升级系统、弥补漏洞,实在来不及实施的则暂时关闭某些服务。

    然而,很多受到该漏洞威胁的公司并未认识到问题的严重性。北京知道创宇信息技术有限公司持续监测发现,一些机构升级了OpenSSL,如360、百度等;一些选择暂停SSL服务,仍继续使用其主要功能,如微信;有的为规避风险,干脆暂停网站全部服务;更有一部分根本未采取任何措施。

    钟晨鸣说,这个漏洞实际上出现于2012年,至今两年多,谁也不知道是否已经有黑客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。

    亟待反思

    国家级应急响应不力

    中国科学院相关专业人士指出,这是考验中国互联网系统应急能力的重要时刻。但从目前反应情况来看,我国重大安全事件的紧急处置及联动机制还不够健全。国家应急中心直到9日才开始联动。

    该中心一名专家坦陈,从2003年,国家应急中心就试图建立漏洞触发的相关应急工作和能力,但是这一领域的工作到现在也不够清晰,需要新的能力架构设计。“纯事件触发有时太晚太被动,2001年至2004年有很多教训,技术上存在适当前移的可能。”

    “当前最为紧急的事情,是减少损失范围。”严明说,对于政府职能部门,目前公安或者其他相关部门应当立即启动应急措施,促进通报漏洞信息,并强制推动所有受到漏洞影响的网站进行技术升级和修补。在这一阶段完成后,再对那些出现了财产侵占的非法行为进行查处追责。对于企业而言,则要第一时间作出反应,修补自身漏洞,比如该漏洞8日被公布,一些企业到了9日才开始补救,一些甚至还无动于衷。

    “心脏出血”四大恶果

    一是私钥,所有https站点的加密内容全能破解;

    二是网站用户密码,用户资产如网银隐私数据被盗取;

    三是服务器配置和源码,服务器可以被攻破;

    四是服务器“挂掉”不能提供服务。

    专家建议

    暂停网购 别用网银

    对于普通用户,安全领域专家建议,近日在相关网站升级修复前,建议暂且不要登录网购、网银账户,尤其是对那些没有明确采取补救措施的网站,更应该谨慎避免泄密风险。在网站完成修复升级后,及时修改密码,避免引发次生危害。

    新闻名词

    什么是OpenSSL

    openssl是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。

    openssl有什么用

    基本功能

    OpenSSL整个软件包大概可以分成三个主要的功能部分:密码算法库、SSL协议库以及应用程序。OpenSSL的目录结构自然也是围绕这三个功能部分进行规划的。

    作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。

    辅助功能

    BIO机制是OpenSSL提供的一种高层IO接口,该接口封装了几乎所有类型的IO接口,如内存访问、文件访问以及Socket等。这使得代码的重用性大幅度提高,OpenSSL提供API的复杂性也降低了很多。

    OpenSSL对于随机数的生成和管理也提供了一整套的解决方法和支持API函数。随机数的好坏是决定一个密钥是否安全的重要前提。

    OpenSSL还提供了其它的一些辅助功能,如从口令生成密钥的API,证书签发和管理中的配置文件机制等等。如果你有足够的耐心,将会在深入使用OpenSSL的过程慢慢发现很多这样的小功能,让你不断有新的惊喜。

    更多关于OpenSSL漏洞消息请关注甩手网电商行业资讯(www.shuaishou.com

    *本站部分文字及图片均来自于网络,如侵犯到您的权益,请及时通知我们删除。联系信息:甩手网
    关注微信
    手机开店实用工具
    关于甩手软件     |     关于我们     |     联系我们     |     服务条款     |     隐私协议     |     用户权限     |     站点地图     |     帮助中心

    甩手客户服务

    • 甩手问答
    • 在线客服:企业QQ 800055007
    • 白班咨询电话(9:00-18:00):
      0755-26470437/26470392
      晚班咨询电话(18:00-22:00):
      18926581976/18926585976
    • 客服上班时间:
      周一至周五9:00--22:00,周末9:00--17:00
      (除法定节日以外,其他不在线时间请留言,
      我们看到后会第一时间回复您!)
    • 甩手网投诉电话:0755-26470437/26470392转621

    关注公众号

    Copyright ©2010-2020 深圳市华通易点信息技术有限公司 - 甩手网 All Rights Reserved.[粤ICP备12028137号]

    粤公网安备 44030502000916号

    关闭
    在线客服
    投诉建议