• <tr id="mmmmm"><small id="mmmmm"></small></tr>
    • <noscript id="mmmmm"></noscript>
      <nav id="mmmmm"></nav>
    • <tr id="mmmmm"></tr>
      <nav id="mmmmm"><sup id="mmmmm"></sup></nav>

      婷婷色婷婷开心五月,一夲道岛国无码不卡视频,日韩人妻无码bd,亚洲另类无码专区首页

      您的位置:臺灣網(wǎng)  >  經(jīng)貿(mào)  >  今日推薦  > 正文

      網(wǎng)際網(wǎng)路“心臟出血”電商網(wǎng)銀遭受威脅

      2014-04-10 15:45 來源:京華時報 字號:       轉(zhuǎn)發(fā) 列印

        4月8日外媒爆出,研究人員發(fā)現(xiàn)OpenSSL漏洞遍及全球網(wǎng)際網(wǎng)路公司,併為其起了個形象的名字“心臟出血”,中國超過3萬臺主機受波及,國內(nèi)網(wǎng)站和安全廠商技術(shù)人員為檢查、搶修徹夜未眠。截至昨天,有超30%的主機已經(jīng)修復,“大站”紛紛表示安全,但技術(shù)人士稱,消費者敏感資訊是否洩露還有待日後觀察。

        京華時報記者廖豐古曉宇祝劍禾顧夢琳高晨京華時報製圖何將

        □事件

        OpenSSL漏洞曝光

        4月8日,OpenSSL的大漏洞曝光,外國駭客將其命名為“heartbleed”,用最致命的內(nèi)傷“心臟出血”描述事件的嚴重性。該漏洞是由Codenomicon和谷歌安全部門的研究人員獨立發(fā)現(xiàn)的。不過據(jù)外媒報道,為了將影響降到最低,研究人員已經(jīng)與OpenSSL團隊和其他關(guān)鍵的內(nèi)部人士展開了合作,在公佈該問題前就已經(jīng)準備好修復方案。

        OpenSSL是為網(wǎng)路通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議,囊括了主要的密碼演算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議,各大網(wǎng)銀、線上支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站上廣泛使用。知道創(chuàng)宇網(wǎng)站安全部總監(jiān)余弦將OpenSSL形容為“網(wǎng)際網(wǎng)路上銷量最大的門鎖”。此次爆出的這個漏洞,則讓特定版本的OpenSSL成為無需鑰匙即可開啟的廢鎖,入侵者每次可以翻檢戶主的64K資訊,只要有足夠的耐心和時間,他可以翻檢足夠多的數(shù)據(jù),拼湊出戶主的銀行密碼、私信等敏感數(shù)據(jù)。

        “簡單識別網(wǎng)站應用是否採用SSL加密,只需要看瀏覽器地址欄是http,還是https,後者就是用SSL加密的。通常是非常關(guān)鍵的網(wǎng)路服務,比如郵箱、支付、銀行。”金山毒霸安全專家李鐵軍説。

        “有這樣千載難逢的機會,駭客們是捨不得睡覺的。他們會想盡辦法多獲取一些伺服器上的資訊。”360公司技術(shù)副總裁譚曉生説。

        □影響

        網(wǎng)際網(wǎng)路安全大地震

        “這是近兩年來最嚴重的一次網(wǎng)路安全危機。”360公司技術(shù)副總裁譚曉生評價,在以https開頭的網(wǎng)站中,初步評估有不少於30%的網(wǎng)站中招,其中包括大家最常用的購物、網(wǎng)銀、社交、門戶等知名網(wǎng)站,而在手機APP的網(wǎng)銀客戶端中,則有至少50%存在風險。

        據(jù)南京翰海源資訊技術(shù)有限公司創(chuàng)始人方興介紹,通俗來講,通過這個漏洞,可以洩露以下四方面內(nèi)容:一是私鑰,所有https站點的加密內(nèi)容全能破解;二是網(wǎng)站用戶密碼,用戶資産如網(wǎng)銀隱私數(shù)據(jù)被盜取;三是伺服器配置和源碼,伺服器可以被攻破;四是伺服器掛掉不能提供服務。

        一位安全行業(yè)人士透露,他在某著名電商網(wǎng)站上用這個漏洞嘗試讀取數(shù)據(jù),在讀取200次後,獲得了40多個用戶名、7個密碼,用這些密碼,他成功地登錄了該網(wǎng)站。

        昨天下午,來自知道創(chuàng)宇ZoomEye網(wǎng)路空間搜索引擎的監(jiān)控顯示,國內(nèi)有22611臺主機受影響,而前天這個數(shù)字是33303,可以看到情況正在好轉(zhuǎn),超過30%的主機已經(jīng)修復。

        “漏洞被挖掘出來以後,帶來的危害並不會非常快地顯現(xiàn)。”瑞星安全專家唐威告訴記者,現(xiàn)階段企業(yè)層面能做的也是對使用的OpenSSL進行排查和升級。

        不過,昨天也有業(yè)內(nèi)人士稱,這個漏洞其實並沒那麼可怕,因為這是一個舊版本OpenSSL的安全漏洞,開發(fā)者把伺服器程式升級到OpenSSL1.0.1g就可以解決。

        □回應

        銀行銀聯(lián)支付不受影響

        對於OpenSSL的漏洞,有傳言稱即便是銀行網(wǎng)上支付、U盾、銀聯(lián)支付也都並不安全。不過,業(yè)內(nèi)人士昨天向記者坦言,該漏洞對銀行網(wǎng)上支付、銀行U盾使用及銀聯(lián)的影響幾乎為零。

        中國金融認證中心應用開發(fā)部總經(jīng)理林峰表示,OpenSSL的這個漏洞是由於代碼實現(xiàn)不嚴謹造成的。這個漏洞存在於OpenSSL1.0.1系列版本中,之前的OpenSSL版本不受影響。天貓、淘寶使用的正是這個系列的版本,所以可以竊取到記憶體中的數(shù)據(jù)。

        “如果銀行使用了帶有該漏洞的OpenSSL開源軟體版本,會有一定的影響。但是這個漏洞只是竊取記憶體中的數(shù)據(jù),銀行的用戶密碼還有一重加密保護,一般不會在SSL伺服器解密,所以也就很難拿到銀行用戶的密碼。”

        林峰還表示,其實這個OpenSSL的漏洞和U盾的安全性沒有什麼聯(lián)繫,因為用戶的交易敏感資訊是通過USB介面送入U盾後,在U盾內(nèi)部進行加密和數(shù)字簽名運算,SSL協(xié)議是對U盾加密簽名後的數(shù)據(jù)再進行一次傳輸層的加密。這次OpenSSL的漏洞對U盾沒有影響。

        此外,中國銀聯(lián)相關(guān)負責人昨天也回應稱,銀聯(lián)核心跨行交易系統(tǒng)運營基於專用網(wǎng)路,與漏洞事件無關(guān)。該負責人稱,“銀聯(lián)線上支付”等基於網(wǎng)際網(wǎng)路的創(chuàng)新業(yè)務系統(tǒng)並未使用OpenSSL技術(shù),對於個別週邊供應商可能存在的OpenSSL漏洞,銀聯(lián)已通過主動排查,在烏雲(yún)網(wǎng)等技術(shù)人士公開漏洞事件前就已協(xié)調(diào)供應商消除了隱患,持卡人可以放心使用。

        微軟百度稱未受影響

        昨天,微軟中國方面向記者回應稱,沒有任何微軟産品受到此漏洞的影響。OpenSSL是開源用以實現(xiàn)SSL協(xié)議的産品,微軟並沒有在旗下産品和服務中使用此開源的解決方案。據(jù)悉,多數(shù)商業(yè)公司使用的SSL加密都是付費的,與本次暴露出漏洞的OpenSSL關(guān)係不大。

        百度方面也表示,百度錢包不受影響。

        電商噹噹網(wǎng)表示,噹噹網(wǎng)固有的賬戶體系非常安全,消費者可放心購物。

        盛大方面表示,盛大通行證的認證主要是通過硬體加密等方式來使用https協(xié)議,目前已經(jīng)和供應商確認過,一方面所使用的OpenSSL版本不是會受影響,另一方面針對有可能出現(xiàn)的安全隱患,已在第一時間通過升級進行了處理。

        阿裏京東回應已修復

        昨天早上,此次漏洞事件引發(fā)最多泄密擔憂的阿裏係急忙表示漏洞已經(jīng)修復。阿裏安全回應稱,關(guān)於OpenSSL某些版本存在基於基礎協(xié)議的通用漏洞,阿裏各網(wǎng)站已經(jīng)在第一時間進行了修復處理,目前已經(jīng)處理完畢,包括淘寶、天貓、支付寶等各大網(wǎng)站都確認可以放心使用。其中淘寶方面還透露,從目前監(jiān)控的情況來看,未發(fā)現(xiàn)賬戶異常。

        京東則表示,已于昨天完成了修補處理,避免了這次漏洞的侵襲。

        騰訊昨天早上也發(fā)聲明稱,騰訊已在第一時間進行處理,目前相關(guān)的産品業(yè)務如郵箱、財付通、QQ、微信等都已經(jīng)修復完畢。

        網(wǎng)易郵箱方面告訴記者,烏雲(yún)報告提到的網(wǎng)易郵箱OpenSSL漏洞,經(jīng)過網(wǎng)易郵箱查證,所列域名都是指向了CDN(內(nèi)容分發(fā)網(wǎng)路)服務,收到報告後網(wǎng)易郵箱第一時間反饋給CDN服務商,當晚已經(jīng)修復。

        此外,全球網(wǎng)際網(wǎng)路巨頭雅虎、谷歌和Facebook也紛紛表示已修復漏洞。谷歌表示:“我們已經(jīng)評估了SSL漏洞,並且給谷歌的關(guān)鍵服務打上了補丁。”

        誰能利用“心臟出血”漏洞?

        “對於了解這項漏洞的人,要對其加以利用並不困難。”普林斯頓大學電腦科學家菲爾騰説。利用這項漏洞的軟體在網(wǎng)上有很多,雖然這些軟體並不像iPad應用那麼容易使用,但任何擁有基本編程技能的人都能學會它的使用方法。

        當然,這項漏洞對情報機構(gòu)的價值或許最大,他們擁有足夠的基礎設施來對用戶流量展開大規(guī)模攔截。

        □消費者應對

        網(wǎng)站修復漏洞後用戶需修改密碼

        360公司技術(shù)副總裁譚曉生建議,在4月7日和8日兩天登錄過存在漏洞的網(wǎng)站的網(wǎng)友,首先需要確認曾經(jīng)登錄的網(wǎng)站是否已經(jīng)進行了升級修復,可看該網(wǎng)站是否發(fā)佈相關(guān)的公告,也可通過360網(wǎng)站衛(wèi)士推出的OpenSSL漏洞線上檢查工具,輸入網(wǎng)址檢測網(wǎng)站是否存在該漏洞。如果相關(guān)網(wǎng)站已完成了修復,則用戶需要將使用過的用戶名、密碼等個人資訊進行修改;如果登錄過的網(wǎng)站仍然未能完成修復,“那很遺憾,用戶只有坐等對方修復。”

        金山毒霸安全專家李鐵軍表示,對重要服務,要盡可能開通手機驗證或動態(tài)密碼,比如支付寶、郵箱等。

        “針對OpenSSL漏洞,駭客的攻擊方式是不斷發(fā)動數(shù)據(jù)包攻擊,每次攻擊能夠從伺服器記憶體上得到大小為64K的數(shù)據(jù),不過獲得的數(shù)據(jù)是零散無序的,駭客想要獲得真正有用的資訊,需要把累計獲得的數(shù)據(jù)進行整理分析,這需要一個時間過程,因此,在這兩天內(nèi)及時完成密碼修改,就不會有太大的問題。”譚曉生提醒説,不過,即便網(wǎng)站完成修復,也並不意味著天下太平了,未來是否有新的危險還不得而知。

        此外,在網(wǎng)站漏洞修復前,不要網(wǎng)購或網(wǎng)上支付,以免受到損失。一個密碼的使用時間不宜過長,超過3個月就該換掉了。

        什麼是SSL?

        SSL是一種流行的加密技術(shù),可以保護用戶通過網(wǎng)際網(wǎng)路傳輸?shù)碾[私資訊。網(wǎng)站採用此加密技術(shù)後,第三方無法讀取你與該網(wǎng)站之間的任何通訊資訊。在後臺,通過SSL加密的數(shù)據(jù)只有接收者才能解密。

        SSL最早在1994年由網(wǎng)景推出,1990年代以來已經(jīng)被所有主流瀏覽器採納。

        什麼是“心臟出血”漏洞?

        SSL標準包含一個心跳選項,允許SSL連接一端的電腦發(fā)出一條簡短的資訊,確認另一端的電腦仍然線上,並獲取反饋。研究人員發(fā)現(xiàn),可以通過巧妙的手段發(fā)出惡意心跳資訊,欺騙另一端的電腦洩露機密資訊。受影響的電腦可能會因此而被騙,併發(fā)送伺服器記憶體中的資訊。

        誰發(fā)現(xiàn)的這個問題?

        該漏洞是由Codenomicon和谷歌安全部門的研究人員獨立發(fā)現(xiàn)的。為了將影響降到最低,研究人員已經(jīng)與OpenSSL團隊和其他關(guān)鍵的內(nèi)部人士展開了合作,在公佈該問題前就已經(jīng)準備好修復方案。

      [責任編輯: 林天泉]

      視 頻
      1. 浙江慣偷鈔票點煙被抓 稱“窮得只剩錢”

        浙江慣偷鈔票點煙被抓

          近日,浙江義烏一名男子在網(wǎng)上不斷炫富,還用百元大鈔點煙...

      2. 江宜樺重申徹查島內(nèi)油品市場

        江宜樺重申徹查島內(nèi)油品市場

        關(guān)注臺灣食品油事件

      圖 片
        服務專區(qū)

        投資流程辦事指南往來手續(xù)聯(lián)繫我們Q&A

        關(guān)於我們 | 本網(wǎng)動態(tài) | 轉(zhuǎn)載申請 | 投稿郵箱 | 聯(lián)繫我們 | 版權(quán)申明 | 法律顧問
        京ICP證130248號 京公網(wǎng)安備110102003391
        網(wǎng)路傳播視聽節(jié)目許可證0107219號
        臺灣網(wǎng)版權(quán)所有

        婷婷色婷婷开心五月
      • <tr id="mmmmm"><small id="mmmmm"></small></tr>
        • <noscript id="mmmmm"></noscript>
          <nav id="mmmmm"></nav>
        • <tr id="mmmmm"></tr>
          <nav id="mmmmm"><sup id="mmmmm"></sup></nav>