掃碼支付
OpenSSL大漏洞“heartbleed” 國內多家網站已修復
核心提示:“4月8日是黑客和白帽子們的不眠之夜?!庇腥诉@樣形容。早上還在討論WIN XP停止服務,到晚上已到處是OpenSSL的漏洞消息。
OpenSSL是為網絡通信提供安全及數據完整性的一種安全協議,在各大網銀、在線支付、電商網站、門戶網站、電子郵件等廣泛使用。就是這個被許多企業和服務商用來加密數據的安全協議,爆出了本年度最嚴重的安全漏洞——黑客可以利用這個漏洞從服務器內存中竊取64KB數據,64KB數據量并不大,但黑客可以重復利用該漏洞,多次竊取數據,并可能因此獲得用戶的加密密鑰,解密敏感數據。
打個比方,OpenSSL是目前互聯網上應用最廣“門鎖”,而這個漏洞讓特定版本的OpenSSL成了不設防的保險箱。
驚現安全漏洞
黑客、白帽子們忙了一夜
“(這個消息)我們最初是在海外論壇上看到的,很快傳回了國內。”金山首席安全專家李鐵軍說,4月7日(美國當地時間)有黑客公布了舊版本OpenSSL的安全漏洞,“因為漏洞機制描述得非常詳細,很快就在圈內傳開了。”
漏洞的發布在一個相當危險的時間點——黑客們已經紛紛出動,而一些公司的負責人卻正在睡覺。發現者們給這個漏洞起了個相當形象的名字“heartbleed”,直譯為“心臟出血”。這一夜,互聯網的安全核心,開始滴血。
黑客、白帽子們、運維主管、安全廠商們,聞著“血”而動:他們有的開始狂歡,逐一進入戒備森嚴的網站,收集泄露數據;有的開始測試有多少網站受到影響以及推出檢測腳本;有的在統計漏洞信息,還要準備說服客戶,解釋問題的嚴重性;有的連夜開始緊急預警修復升級系統版本;WooYun漏洞平臺上很多白帽子開始對大范圍網站進行了測試刷分,場面頗為壯觀……而普通網民們卻毫不知情。
“很快,甚至有黑客發布了舊版本OpenSSL的‘傻瓜攻擊’。”李鐵軍解釋說,這意味著非專業技術人員只要依樣畫葫蘆就能利用漏洞從服務器內竊取數據。
“收到這個漏洞后我們起初測試了支付寶,確認存在此漏洞,發起檢測。之后我們又發現雅虎門戶主頁、微信公眾號、微信網頁版、YY語言、淘寶、網銀、陌陌、社交、門戶網站存在此漏洞。”網友Evi1m0在知乎上透露,“在一個社交網站中我獲取到了用戶登錄的帳號以及密碼甚至是安全問題與答案。這里的密碼使用的明文傳輸,以至于通過這樣的漏洞攻擊,我成功地登錄了上百個賬戶,當然我什么都沒做,出于測試而已。”
國內知名網站幾無幸免
目前支付寶、淘寶已修復漏洞
這個漏洞影響究竟有多大?安全專家們不約而同地推薦參考zoomeye(鐘馗之眼)的掃描數據,這是一個網絡空間搜索引擎,業界公認的權威。根據zoomeye系統掃描,中國全境至少有33303臺服務器受本次OpenSSL漏洞影響。網易(67.91, 0.71, 1.06%)、微信、QQ郵箱、陌陌、雅虎、比特幣中國、支付寶、知乎、淘寶網、360應用、京東、YY語言……從消費到通訊、社交,國內知名網站幾乎無一幸免。而很多用戶毫不知情,仍然在訪問著老虎嘴中的站點。
幸好,官方很快發布了漏洞的修復方案:因為這是一個舊版本OpenSSL的安全漏洞,開發者把服務器程序升級到OpenSSL1.0.1g可以解決。
“目前騰訊幾大產品線已經都升級修復了,而且反復進行了掃描,確保漏洞已經被修復。”騰訊相關負責人表示,在騰訊相關的產品業務如郵箱、財付通、QQ、微信等都已經可以放心使用。
“阿里旗下網站已經都沒有問題了。”阿里集團相關負責人也表示,技術部門一得到漏洞消息就連夜進行了版本升級,修復了漏洞。目前支付寶、淘寶、天貓都可以正常使用。
截止記者發稿時,包括支付寶、淘寶、微信、QQ平臺、網易、12306鐵路客戶服務中心等在內大型網站已修復漏洞。
應對未知風險
安全專家給出兩條建議
互聯網門戶洞開的“驚魂一夜”過去了,從開始到基本結束,絕大多數網友都一無所知。
我們安全了嗎?
從zoomeye系統的掃描結果看,比33303臺服務器受漏洞影響更讓人擔心的是:這些服務器有的在銀行網銀系統中;有的部署在第三方支付里;有的在大型電商網站;有的在網絡郵箱、即時通訊系統中……
“特別是現在互聯網金融和第三方支付的發展非常迅速,這意味著以前用銀行卡、POS機進行的交易都將逐漸轉移到互聯網上,這對網絡安全提出了越來越高的要求。”李鐵軍坦承比用戶端更不可控的是服務端,如果黑客入侵了服務器,受損的遠不止公司一個個體,還包括存放于公司數據庫的大量用戶敏感資料。
“這個漏洞據說早在2012年就被挖掘出來,直到昨天CVE納入編號CVE-2014-0160,8號才正式爆發。”Evi1m0也在知乎上透露,“使用HTTPS的網站大多是因為數據需加密防止嗅探等攻擊的發生,漏洞爆發后徹底將這層大門打破,于是很多網站處于被監聽的狀態中。”
兩年多時間,誰也不知道是否已經有黑客利用漏洞獲取了用戶資料;而且由于該漏洞即使被入侵也不會在服務器日志中留下痕跡,所以目前還沒有辦法確認哪些服務器被入侵,也就沒法定位損失、確認泄漏信息,從而通知用戶進行補救。
“最近兩天不要登錄未修復的服務器,以免自投羅網,即使想要修改用戶名或密碼也等幾天再改。”幾位安全專家給出的建議都很一致。因為最近幾天網友登錄一些關鍵服務網站,若網站未完成漏洞修復,登錄信息就可能被黑客遠程捕獲。
盡管zoomeye的掃描結果及涉及名單已經被提交給國家互聯網應急中心,按照流程應由后者進行全國預警,但截止記者發稿時,在國家互聯網應急中心官網上尚無相關信息發布。
事實上,除了移動、聯通等這些大型企業外,國家互聯網應急中心也沒有強制力確保其他公司看到預警內容,舊版本OpenSSL的安全漏洞修復時間是個不確定值。
對于普通用戶怎么辦呢?除了在確認有關網站安全之前,不要使用網銀、電子支付和電商購物等功能,以避免用戶密碼被漏洞后的黑客捕獲外。
安全專家們給出了兩條建議:一是對重要服務,盡可能開通手機驗證或動態密碼,比如支付寶、郵箱等。登錄重要服務,不僅僅需要驗證用戶名密碼,完美綁定手機,加手機驗證碼登錄。這樣就算黑客拿到賬戶密碼,登錄還有另一道門檻。二是如果隨著事件進展,可能受累及的網絡服務在增加或更明確,建議用戶修改重要服務的登錄密碼。而且一個密碼的使用時間不宜過長,超過3個月就該換掉了。
