行业新闻

互联网“心脏出血” 电商网银遭受威胁(2)

时间:2014-04-11 06:49来源:宏福圣 作者:宏福圣 点击:
昨天,微软中国方面向记者回应称,没有任何微软产品受到此漏洞的影响。OpenSSL是开源用以实现SSL协议的产品,微软并没有在旗下产品和服务中使用此开

昨天,微软中国方面向记者回应称,没有任何微软产品受到此漏洞的影响。OpenSSL是开源用以实现SSL协议的产品,微软并没有在旗下产品和服务中使用此开源的解决方案。据悉,多数商业公司使用的SSL加密都是付费的,与本次暴露出漏洞的OpenSSL关系不大。

百度方面也表示,百度钱包不受影响。

电商当当网表示,当当网固有的账户体系非常安全,消费者可放心购物。

盛大方面表示,盛大通行证的认证主要是通过硬件加密等方式来使用https协议,目前已经和供应商确认过,一方面所使用的OpenSSL版本不是会受影响,另一方面针对有可能出现的安全隐患,已在第一时间通过升级进行了处理。

阿里京东回应已修复

昨天早上,此次漏洞事件引发最多泄密担忧的阿里系急忙表示漏洞已经修复。阿里安全回应称,关于OpenSSL某些版本存在基于基础协议的通用漏洞,阿里各网站已经在第一时间进行了修复处理,目前已经处理完毕,包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。其中淘宝方面还透露,从目前监控的情况来看,未发现账户异常。

京东则表示,已于昨天完成了修补处理,避免了这次漏洞的侵袭。

腾讯昨天早上也发声明称,腾讯已在第一时间进行处理,目前相关的产品业务如邮箱、财付通、QQ、微信等都已经修复完毕。

网易邮箱方面告诉记者,乌云报告提到的网易邮箱OpenSSL漏洞,经过网易邮箱查证,所列域名都是指向了CDN(内容分发网络)服务,收到报告后网易邮箱第一时间反馈给CDN服务商,当晚已经修复。

此外,全球互联网巨头雅虎、谷歌和Facebook也纷纷表示已修复漏洞。谷歌表示:“我们已经评估了SSL漏洞,并且给谷歌的关键服务打上了补丁。”

谁能利用“心脏出血”漏洞?

“对于了解这项漏洞的人,要对其加以利用并不困难。”普林斯顿大学计算机科学家菲尔腾说。利用这项漏洞的软件在网上有很多,虽然这些软件并不像iPad应用那么容易使用,但任何拥有基本编程技能的人都能学会它的使用方法。

当然,这项漏洞对情报机构的价值或许最大,他们拥有足够的基础设施来对用户流量展开大规模拦截。

消费者应对

网站修复漏洞后用户需修改密码

360公司技术副总裁谭晓生建议,在4月7日和8日两天登录过存在漏洞的网站的网友,首先需要确认曾经登录的网站是否已经进行了升级修复,可看该网站是否发布相关的公告,也可通过360网站卫士推出的OpenSSL漏洞在线检查工具,输入网址检测网站是否存在该漏洞。如果相关网站已完成了修复,则用户需要将使用过的用户名、密码等个人信息进行修改;如果登录过的网站仍然未能完成修复,“那很遗憾,用户只有坐等对方修复。”

金山毒霸安全专家李铁军表示,对重要服务,要尽可能开通手机验证或动态密码,比如支付宝、邮箱等。

“针对OpenSSL漏洞,黑客的攻击方式是不断发动数据包攻击,每次攻击能够从服务器内存上得到大小为64K的数据,不过获得的数据是零散无序的,黑客想要获得真正有用的信息,需要把累计获得的数据进行整理分析,这需要一个时间过程,因此,在这两天内及时完成密码修改,就不会有太大的问题。”谭晓生提醒说,不过,即便网站完成修复,也并不意味着天下太平了,未来是否有新的危险还不得而知。

此外,在网站漏洞修复前,不要网购或网上支付,以免受到损失。一个密码的使用时间不宜过长,超过3个月就该换掉了。

什么是SSL?

SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。网站采用此加密技术后,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。

SSL最早在1994年由网景推出,1990年代以来已经被所有主流浏览器采纳。

什么是“心脏出血”漏洞?

SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。研究人员发现,可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。

谁发现的这个问题?

该漏洞是由Codenomicon和谷歌安全部门的研究人员独立发现的。为了将影响降到最低,研究人员已经与OpenSSL团队和其他关键的内部人士展开了合作,在公布该问题前就已经准备好修复方案。

分享

(责任编辑:admin)
----------------------------------