咨詢熱線:4007-360-159
客服熱線:4007-360-158

“心臟出血”來(lái)襲 普通的我們能做些啥

231

     4月14日 最近“心臟出血”這個(gè)名詞沖上了諸多媒體的頭條,中央電視臺(tái)的新聞1+1節(jié)目專門做了一期關(guān)于“心臟出血”的詳細(xì)報(bào)道,一時(shí)間在網(wǎng)民之間引發(fā)恐慌。雖然絕大多數(shù)的人對(duì)“心臟出血”的技術(shù)原理并不清楚,更多來(lái)源是來(lái)自于煤體的介紹,恐慌的根因是因?yàn)樽约核须[私包括登陸網(wǎng)站的用戶名/密碼,網(wǎng)上銀行帳戶/密碼等可能都將變得不安全?!靶呐K出血”的原名叫“Heartbleed bug”,也有人叫“擊穿心臟”,是來(lái)自O(shè)penSSL的緊急安全漏洞警告。采用這樣的名字也是為了說(shuō)明這個(gè)漏洞的嚴(yán)重性,因?yàn)椤靶呐K出血”已經(jīng)被認(rèn)為是互聯(lián)網(wǎng)歷史上最為嚴(yán)重的網(wǎng)絡(luò)安全漏洞。OpenSSL是一個(gè)強(qiáng)大的安全套接自層密碼庫(kù),是一種開(kāi)源軟件包,囊括了主要的密碼算法、常用的密碼和證書(shū)封裝管理功能以及SSL協(xié)議,是一種網(wǎng)絡(luò)加密安全協(xié)議,在各大網(wǎng)銀、在線支付、網(wǎng)站、電子郵箱、網(wǎng)絡(luò)設(shè)備加密等方面有著廣泛使用。這次“心臟出血”是OpenSSL存在的一個(gè)軟件BUG,當(dāng)攻擊者構(gòu)造一個(gè)特殊的數(shù)據(jù)包,滿足用戶心跳包中無(wú)法提供足夠多的數(shù)據(jù)就會(huì)導(dǎo)致Memcpy把 SSLv3記錄之后的數(shù)據(jù)直接輸出,這樣攻擊者可以遠(yuǎn)程讀取服務(wù)器內(nèi)存中長(zhǎng)達(dá)64K的數(shù)據(jù),這個(gè)數(shù)據(jù)獲取到的是隨機(jī)的,不一定是隱私信息,所以只有反復(fù)獲取才能拿到自己想要的數(shù)據(jù)。這個(gè)軟件BUG在OpenSSL兩年前發(fā)布的軟件版本中已經(jīng)存在了,使用OpenSSL新版本的服務(wù)器和網(wǎng)絡(luò)設(shè)備都存在這個(gè)問(wèn)題。

     在4月9日“心臟出血”爆出以來(lái),各大網(wǎng)站、電商、銀行就開(kāi)始對(duì)涉及BUG的服務(wù)器進(jìn)行修復(fù),而廣大的網(wǎng)民除了擔(dān)心還是擔(dān)心,束手無(wú)策。其實(shí),“心臟出血”的確問(wèn)題嚴(yán)重,但也不至于如此,更多的還是來(lái)自安全廠商和媒體的過(guò)度宣揚(yáng),安全廠商這樣做無(wú)非是人為制造恐慌氣氛,達(dá)到推廣安全產(chǎn)品的目的,這是一次推廣自己產(chǎn)品的好機(jī)會(huì),而媒體更是通過(guò)大肆報(bào)道主要目的是為了吸引眼球,這樣人為制造緊張氣氛,增加受關(guān)注的程度。實(shí)際上,幾乎天天都會(huì)出現(xiàn)一些系統(tǒng)安全漏洞,在網(wǎng)絡(luò)運(yùn)營(yíng)企業(yè)基本都形成了發(fā)現(xiàn)漏洞、系統(tǒng)升級(jí)、補(bǔ)丁修補(bǔ)等一系列完整的流程,經(jīng)常要進(jìn)行漏洞的修補(bǔ)。當(dāng)發(fā)現(xiàn)漏洞時(shí)第一時(shí)間進(jìn)行修復(fù),消除影響?!靶呐K出血”只是影響面更廣一些,涉及到銀行帳戶、密碼等敏感數(shù)據(jù)的泄露。但也不是知道這個(gè)漏洞就一定有能力來(lái)獲取到數(shù)據(jù),這要求利用漏洞的人要具備較深的技術(shù)水平才能從泄露的數(shù)據(jù)中獲取到隱私數(shù)據(jù)。OpenSSL的漏洞已經(jīng)存在了兩年,直到今天才被公布,從這兩年的時(shí)間看并沒(méi)有大量數(shù)據(jù)的異常泄露,顯然并沒(méi)有人提前發(fā)現(xiàn)這個(gè)漏洞,或者就算知道并沒(méi)有利用這個(gè)漏洞去獲取隱私數(shù)據(jù)和破壞數(shù)據(jù)。當(dāng)OpenSSL公布漏洞后,各大網(wǎng)站、銀行都在積極修復(fù),所以應(yīng)該不會(huì)對(duì)普通網(wǎng)民造成什么影響,不必過(guò)分擔(dān)憂。

     那么作為普通網(wǎng)民我們還能做什么呢,難道只能碰運(yùn)氣,坐等?當(dāng)然不是,只有我們主動(dòng)的訪問(wèn)了這些存在漏洞網(wǎng)站、設(shè)備,才會(huì)將隱私登陸信息臨時(shí)存放到服務(wù)器的緩存中,在網(wǎng)站修復(fù)之前信息泄露隨時(shí)都存在。服務(wù)器如果曾經(jīng)發(fā)生做過(guò)重起,或者業(yè)務(wù)變更,這些保存在內(nèi)存中的臨時(shí)數(shù)據(jù)也會(huì)消失。所以首先要回憶一下最新是否使用過(guò)這些網(wǎng)站使用過(guò)交易,時(shí)間越久則風(fēng)險(xiǎn)就越低。如果頻繁使用網(wǎng)上支付,建議直接到銀行營(yíng)業(yè)廳將網(wǎng)銀密碼修改,帳戶轉(zhuǎn)移,檢查帳戶資金是否安全,密切關(guān)注自己經(jīng)常訪問(wèn)的網(wǎng)站的公告。

     要養(yǎng)成良好的上網(wǎng)習(xí)慣,不了解的網(wǎng)站不進(jìn)行訪問(wèn)。不隨意點(diǎn)擊網(wǎng)站彈出的各種廣告,不隨便安裝各種惡意軟件。在“心臟出血”爆出后,很多正規(guī)大型的門戶網(wǎng)站都會(huì)及時(shí)更新軟件,消除漏洞。但是對(duì)于一些小型網(wǎng)站,由于其自身技術(shù)能力有限,無(wú)法及時(shí)更新軟件,導(dǎo)致長(zhǎng)時(shí)間修復(fù),此時(shí)訪問(wèn)這些網(wǎng)站就容易將自己的隱私信息暴露給別人。

     在http://filippo.io/Heartbleed/網(wǎng)站可以對(duì)各個(gè)網(wǎng)站是否存在“心臟出血”漏洞進(jìn)行測(cè)試,驗(yàn)證自己訪問(wèn)過(guò)的網(wǎng)站,這里指使用自己注冊(cè)帳戶登陸的網(wǎng)站,如果顯示為紅色就說(shuō)明存在風(fēng)險(xiǎn),暫時(shí)不要進(jìn)行任何的訪問(wèn)。同時(shí)要關(guān)注這些網(wǎng)站發(fā)布的安全漏洞消息,還可以直接致電網(wǎng)站支持人員,以確保自己的帳戶信息安全。

要及時(shí)修改訪問(wèn)密碼,對(duì)密碼進(jìn)行重新設(shè)定,根據(jù)行業(yè)默認(rèn)的標(biāo)準(zhǔn),對(duì)于任何的帳戶密碼應(yīng)該每6個(gè)月更換一次,而且禁止是否簡(jiǎn)單的數(shù)字來(lái)設(shè)定密碼,這樣將大大降低帳戶被攻破的可能性。

     由于網(wǎng)上銀行交易都強(qiáng)制要求客戶安裝U盾,這是使用商業(yè)級(jí)的SSL加密設(shè)備,而不是OpenSSL 這種開(kāi)源軟件,所以不存在這類問(wèn)題,所以使用銀行卡進(jìn)行網(wǎng)上支付的大可放心。還有很多實(shí)力比較強(qiáng)的網(wǎng)站也采用商業(yè)的加密技術(shù),比如支付寶,所以也不存在這類問(wèn)題,聽(tīng)到這樣的消息是不是心里稍許可以平靜些了。不過(guò)一些網(wǎng)站上注冊(cè)的個(gè)人信息就可能存在泄露的風(fēng)險(xiǎn),這個(gè)“心臟出血”暴出后,“黑客”和“白帽”你盜我堵都在的瘋狂賽跑,廣大網(wǎng)民的信息能否保得住就看這些“白帽”的了,這個(gè)普通網(wǎng)民只能做觀龍虎斗,干著急出不上力氣了。

     自古以來(lái),邪不勝正,相信這是第一次互聯(lián)網(wǎng)行業(yè)面臨的全面危機(jī),本來(lái)網(wǎng)絡(luò)安全就飽受質(zhì)疑,此次危機(jī)能否處理得好,將關(guān)系著互聯(lián)網(wǎng)的未來(lái)。在這場(chǎng)危機(jī)面前我們普通的網(wǎng)民既是無(wú)辜的受害者又是弱視群體,希望這些互聯(lián)網(wǎng)的企業(yè)能夠及時(shí)修復(fù)漏洞,不要在網(wǎng)民的傷口上撒鹽。


文章分類: 行業(yè)資訊
咨詢熱線:4007-360-159 客服熱線:4007-360-158
官方微信