2亿网民网银密码或中招,应对不足凸显我国安全短板

让更多人知道事件的真相,把本文分享给好友:

中国计算机学会信息安全专业委员会主任严明认为,对于政府职能部门,目前公安或者其他相关部门应当立即启动应急措施,促进通报漏洞信息,并强制推动所有受到漏洞影响的网站进行技术升级和修补。在这一阶段完成后,再对那些出现了财产侵占的非法行为进行查处追责。

    在WindowsXP停服的同一天,互联网曝出重大安全漏洞,危及全球包括银行、电商在内关键部门和普通用户财产及信息安全,NASA等众多网站受波及,这一漏洞一旦被恶意利用,意味着用户登陆这些电商、网银的账户、密码等关键信息都将泄露,造成财产损失。

事件·观察

    钟晨鸣说,这个漏洞实际上出现于2012年,至今两年多,谁也不知道是否已经有黑客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。

国家级应急响应亟待优化

    据了解,这一漏洞由安全公司Codenomicon和谷歌安全工程师独立发现。发现者们给这个漏洞起了个形象的名字:heartbleed——心脏出血。

事件·应对

   
这位负责人建议,需从顶层设计着手,在政策层面明确导向信息安全与信息化的一体性质,以及安全与建设的全周期结合。从规划角度,要引导政企单位建立综合的信息安全能力,要强调信息安全的体系化建设,把离散的等级保护要求推动到下一步的整体建设中。

360安全专家石晓虹博士表示,“心脏出血”漏洞堪称“网络核弹”,初步评估一批https登录方式的主流网站,有不少于30%的网站中招,其中包括网银、网购、网上支付、邮箱、门户、微信、微博等知名网站和服务。无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。

    “对于一个安全协议来说,这样的安全漏洞是非常严重的。”钟晨鸣说,该漏洞并不一定导致用户数据泄露,因为该漏洞只能从内存中读取64K的数据,而重要信息正好落在这个可读取的64k上的几率并不大,但是攻击者可以不断批量地去获取这最新的64k记录,这样就很大程度上可以得到尽可能多的用户隐私信息。

国家应急中心一位负责人也指出,我国从2003年起,就开始试图建立漏洞触发机制,但这一块工作的细化和操作在实践层面还缺乏清晰的路径。

    而国家应急中心直到9日才开始联动,响应并不及时。该中心一名专家坦陈,从2003年,国家应急中心就试图建立漏洞触发的相关应急工作和能力,但是这一领域的工作到现在也不够清晰,需要新的能力架构设计。“纯事件触发有时太晚太被动,技术上存在适当前移的可能。”

百度钱包称,在这次风暴中未受影响,请大家继续安心使用。京东表示,已对系统全面排查并升级,目前不建议用户修改密码。

    一位安全行业人士透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。

百度钱包也发布声明称,近日,OpenSSL漏洞已排山倒海向互联网安全界袭来,攻击者可持续读取服务器内存数据,窃取用户cookie、口令等敏感数据,已确定1.0.1—1.0.1f、1.0.2beta1版本均在此列。

摘要:在WindowsXP停服的同一天,互联网曝出重大安全漏洞,危及全球包括银行、电商在内关键部门和普通用户财产及信息安全,NASA等众多网站受波及,这一漏洞一旦被恶意利用,意味着用户登陆这些电商、网银的账户、密码等关键信息都将泄露,造成财产损失。
安全协议心…

“心脏出血”:OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码等数据。
OpenSSL:是目前互联网上应用最广泛的安全传输方法。可以形象地说,它是互联网上销量最大的门锁。

    安全协议“心脏出血” 

事件·提示

    安全防护“蝴蝶效应”显现 我国网络安全存短板

国内网络公司均称“已修复”漏洞

    8日,网络安全协议Open SLL被曝出存在安全漏洞,该协议常用于电商、网银等安全性极高的网站。北京知道创宇信息技术有限公司研究部总监钟晨鸣表示,此次漏洞会影响为数众多的使用https的网站,其中包括公众熟知并且经常访问的电商、网银、社交、门户等知名网站。

360公司相关负责人也表示,360历来有一个漏洞检索机制,4月8日上午10点28分抓取到了这个漏洞信息,立即开始自我评估,搜索自己哪些服务器使用了OpenSSL协议,最后获得了一个服务器列表,一共有100-200台服务器受到影响,然后立刻要求服务器团队开始修复,整个修复过程持续到4月9日凌晨5点多。

    据南京翰海源信息技术有限公司创始人方兴介绍,通过这个漏洞,所有https站点的加密内容全能破解,用户资产如网银隐私数据可能被盗取,服务器配置和源码泄露,导致服务器可以被攻破,不能提供服务。 

事件·最新

    方兴对这一事件可能带来的巨大负面影响非常忧虑。他说,并不是此次修复漏洞后就安全了,负面影响将是持续的,攻击者还可以造成很大破坏。

3万多个网站主机受威胁

    作为国内顶尖的安全专家,方兴指出,此次发现的漏洞事实上是非常简单的一个漏洞,并不是因为算法被攻破,而是由于程序员在设计时没有做长度检查而产生的内在泄露漏洞。“几乎所有程序员都很容易犯的错误,即使微软的高手,开源的精英也容易犯。”加密算法很重要,但目前攻防的重点不是数学算法的对抗,而是安全漏洞攻防的对抗。

一位安全行业人士透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。

    有专家指出,商业软件漏洞信息不开放,修补则遥遥无期。而政策导向不明确,得不到有关部门负责人的大力支持。一位不愿具名的安全厂商负责人表示,一些管理者缺乏对系统工程的认识,对纵深防御持反对态度。为了获得项目,安全厂商不得不撒谎,称已有安全机制足够抵御风险。“在企业里,直接技术领导意识很先进,但是到了规划等部门,纵深防御被认为是浪费钱。”

事件·后续

    分析人士指出,具体受害的用户数字要到后面才能得以统计,当前应动员所有应急机制做出紧急反应,并通报如何尽量减少威胁。建议大型站点需要换证,重新配置密码串,对于个人用户而言,最迫切的就是要改密码。

登录网站最好先检测是否存漏洞

    根据知道创宇公司持续在线监测情况来看,虽然大部分公司已有所行动,但有部分涉及机构盲目乐观。如360、百度等公司在升级OpenSSL,微信已暂停SSL服务,有的网站为规避风险,干脆暂停全部服务。不过,仍有机构根本没有采取任何
措施。

360已经第一时间向12万网站用户发送提醒邮件,提醒广大站长尽快将OpenSSL升级至
1.0.1g版本,以修复该漏洞。

    威胁长期存在 部分涉及机构盲目乐观

对于此次OpenSSL漏洞给中国互联网企业带来的系统性风险,有专家指出,出于安全考虑,政府有关职能部门应在第一时间向全国发出警报。但从目前反应出的情况来看,我国重大安全事件的紧急处置及联动机制还不够健全。

相关文章