安全

  |  手机版

收藏网站

投稿QQ:1745232315

IT专家网,汇聚专业声音 解析IT潮流 IT专家网,汇聚专业声音 解析IT潮流

网络

专家视点在现场环球瞭望
IT专家网 > 安全

心脏出血: 互联网安全之殇

作者:企业网D1net出处:论坛2014-04-16 09:50

  近日来,“心脏出血”已经成为各大网站的头版头条,自4月8号,互联网基础组件OpenSSL安全漏洞的爆出,这一被命名为“心脏出血”的漏洞,让攻击的黑客、维护网络安全的“白帽子”、修复升级系统版本的互联网公司等纷纷闻“血”而动,网民则在毫不知情的情况下访问着已处于“裸奔”状态的站点。据统计,仅7日、8日期间,就有共计约2亿网友访问了存在OpenSSL漏洞的网站。

  门锁成废锁,“心脏出血”让互联网现伤口

  在互联网的世界里,“漏洞”从来都不是一个低曝光率的词,这一次,爆出漏洞的是互联网基础组件OpenSSL。

  OpenSSL是什么?“SSL是为网络通信提供安全及数据完整性的一种安全协议,也是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。”360安全专家安扬告诉记者,“OpenSSL是基于SSL的开源免费软件,由于免费和易用,是目前互联网上应用最广泛的安全传输方法。”形象地说,OpenSSL可以看作互联网上销量最大的“门锁”,此次爆出的漏洞,让特定版本的OpenSSL成为无需“钥匙”即可开启的“废锁”。这个漏洞被命名为“心脏出血”。

  “心脏出血”是如何影响互联网安全的呢?有专家表示,“心脏出血”是OpenSSL源代码出现的一个漏洞,这个漏洞的本质是内存泄漏。这一漏洞的存在,可以让攻击者获得服务器返回的64KB的内存数据。这部分数据中,可能存有安全证书、用户名与密码、电子邮件以及重要的商业文档等数据。虽然攻击者每次只能翻检64KB大小的信息,但只要他有足够的耐心和时间,就能找出足够多的数据以拼凑完整的数据信息。

  在国家信息安全漏洞共享平台(CNVD)上,该漏洞的综合评级为“高危”。由CNVD组织完成的多个测试实例表明,根据对应OpenSSL服务器承载业务类型,攻击者一般可获得用户实时连接的用户账号密码、会话Cookies等敏感信息,进一步可直接取得相关用户权限,窃取私密数据或执行非授权操作。一位安全行业人士亲自验证后透露,他在某著名电商网站用“心脏出血”漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功登录了该网站。

  360安全专家石晓虹表示,此次OpenSSL漏洞堪称“网络核弹”,很多隐私信息都存储在网站服务器的内存中,无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。

  安扬表示,OpenSSL漏洞风险极高,不仅普通网民受到影响,而且很多核心机构和各大公司集团也正在遭遇一场信息安全危机。

相关文章

关键词:安全 互联网 心脏出血

责任编辑:李荣欣

网警备案