位置:第六代财富网 >> 财经 >> 证财要闻 >> 浏览文章

互联网“心脏失血”趋于可控

发布时间:2014-4-11 15:36:00 来源:深圳特区报 浏览: 【字体:

  在网站和安全厂商的协作下,三分之一服务器完成修补

  4月8日,常用于电商、支付类接口等安全性极高网站的网络安全协议OpenSSL被曝存在高危漏洞,众多使用https的网站均受影响,大量用户信息陷于“裸奔”,引发网民恐慌。记者采访了解到,在网站和安全厂商的协作下,三分之一受影响的网站已完成修复,使众多网友陷入恐慌的“心脏失血”正趋于可控。

  互联网被曝“心脏出血”

  4月8日,网络安全协议OpenSSL被曝存在堪称“心脏出血”的高危漏洞。

  据了解,SSL是一种加密技术,可以保护用户通过互联网传输的隐私信息。据悉,目前多数SSL加密的网站都是用名为OpenSSL的软件包,此次OpenSSL被曝的漏洞可以让攻击者获得服务器上64K内存中的数据,其中可能包括安全证书、用户名和密码等敏感信息。

  关于此次漏洞的严重性,北京知道创宇信息技术有限公司研究部总监余弦表示,OpenSSL协议常用于安全性极高的网站,此漏洞一旦被恶意利用,用户登录这些电商、网银的账户、密码等关键信息都将面临泄露风险。

  余弦告诉记者,大量使用https的网站将受到影响,而且越是知名的大网站,越容易受到不法分子攻击。监测发现,在中国境内的160余万台服务器中,有33303台受到这一漏洞影响,尽管占比不大,但这3万多台服务器分布在支付类接口系统、大型电商网站、即时通讯系统和邮箱这些最重要的网络服务器中,其影响范围包括常用的网银及诸多知名网站,微信、支付宝、陌陌等均在其列。

  业内人士:部分信息已经被窃

  南京翰海源信息技术有限公司创始人方兴表示,此漏洞并不是因为算法被攻破,而是由于程序员在设计时没有做长度检查而产生漏洞,其危害性不容小觑。

  余弦告诉记者,该漏洞并不一定导致用户数据泄露,因为该漏洞只能从内存中读取64K的数据,而重要信息正好落在这个可读取的64K中的几率并不大,但是攻击者可以不断批量地去获取最新的64K记录,这样就可以得到尽可能多的用户隐私信息。

  目前看来,该漏洞确已被很多黑客利用。网络安全领域资深人士透露,由于OpenSSL漏洞的出现,在8日、9日地下交易市场中,各种兜售非法数据的交易显得异常火爆。

  三分之一服务器完成修补

  面对“地震级”漏洞,各网站和安全厂商均采取紧急措施,目前整体形势已趋于可控。

  知道创宇公司持续在线监测情况显示,大部分公司已有所行动,如360、百度等公司在升级OpenSSL,微信已暂停SSL服务,有的网站为规避风险,干脆暂停全部服务。

  据了解,截至9日晚,国内12305铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕。

  知道创宇公司工作人员表示,由于这些大的互联网厂商和运营商服务器比较多,他们一修补,我国受到影响的服务器三分之一已完成了修补,整体情况趋于可控。

  (据新华社北京4月10日电)


发送好友:http://finance.sixwl.com/caijingyaowen/162897.html
更多信息请浏览:第六代财富网 www.sixwl.com