4月8日外媒爆出,研究人员发现OpenSSL漏洞遍及全球互联网公司,并为其起了个形象的名字“心脏出血”,中国超过3万台主机受波及,国内网站和安全厂商技术人员为检查、抢修彻夜未眠。截至昨天,有超30%的主机已经修复,“大站”纷纷表示安全,但技术人士称,消费者信息是否泄露还有待日后观察。
4月8日,OpenSSL的大漏洞,外国黑客将其命名为“heartbleed”,用最致命的内伤“心脏出血”描述事件的严重性。该漏洞是由Codenomicon和谷歌门的研究人员发现的。不过据外媒报道,为了将影响降到最低,研究人员已经与OpenSSL团队和其他关键的内部人士展开了合作,在公布该问题前就已经准备好修复方案。
OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。知道创宇网站总监余弦将OpenSSL形容为“互联网上销量最大的门锁”。此次爆出的这个漏洞,则让特定版本的OpenSSL成为无需钥匙即可的废锁,入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的数据,出户主的银行密码、私信等数据。
“简单识别网站应用是否采用SSL加密,只需要看浏览器地址栏是http,还是https,后者就是用SSL加密的。通常常关键的网络服务,比如邮箱、支付、银行。”金山毒霸安全专家李铁军说。
“有这样千载难逢的机会,黑客们是舍不得睡觉的。他们会想尽办法多获取一些服务器上的信息。”360公司技术副总裁谭晓生说。
“这是近两年来最严重的一次网络安全危机。”360公司技术副总裁谭晓生评价,在以https开头的网站中,初步评估有不少于30%的网站中招,其中包括大家最常用的购物、网银、社交、门户等知名网站,而在手机APP的网银客户端中,则有至少50%存在风险。
据南京翰海源信息技术有限公司创始人方兴介绍,通俗来讲,通过这个漏洞,可以泄露以下四方面内容:一是私钥,所有https站点的加密内容全能破解;二是网站用户密码,用户资产如网银隐私数据被盗取;三是服务器配置和源码,服务器可以被攻破;四是服务器挂掉不能提供服务。
一位安全行业人士透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
昨天下午,来自知道创宇ZoomEye网络空间搜索引擎的显示,国内有22611台主机受影响,而前天这个数字是33303,可以看到情况正在好转,超过30%的主机已经修复。
“漏洞被挖掘出来以后,带来的危害并不会非常快地。”瑞星安全专家唐威告诉记者,现阶段企业层面能做的也是对使用的OpenSSL进行排查和升级。
不过,昨天也有业内人士称,这个漏洞其实并没那么,因为这是一个旧版本OpenSSL的安全漏洞,开发者把服务器程序升级到OpenSSL1.0.1g就可以解决。
对于OpenSSL的漏洞,有传言称即便是银行网上支付、U盾、银联支付也都并不安全。不过,业内人士昨天向记者坦言,该漏洞对银行网上支付、银行U盾使用及银联的影响几乎为零。
中国金融认证中心应用开发部总经理林峰表示,OpenSSL的这个漏洞是由于代码实现不严谨造成的。这个漏洞存在于OpenSSL1.0.1系列版本中,之前的OpenSSL版本不受影响。天猫、淘宝使用的正是这个系列的版本,所以可以窃取到内存中的数据。
“如果银行使用了带有该漏洞的OpenSSL开源软件版本,会有一定的影响。但是这个漏洞只是窃取内存中的数据,银行的用户密码还有一重加密,一般不会在SSL服务器解密,所以也就很难拿到银行用户的密码。”
林峰还表示,其实这个OpenSSL的漏洞和U盾的安全性没有什么联系,因为用户的交易信息是通过USB接口送入U盾后,在U盾内部进行加密和数字签名运算,SSL协议是对U盾加密签名后的数据再进行一次传输层的加密。这次OpenSSL的漏洞对U盾没有影响。
此外,中国银联相关负责人昨天也回应称,银联核心跨行交易系统运营基于专用网络,与漏洞事件无关。该负责人称,“银联在线支付”等基于互联网的创新业务系统并未使用OpenSSL技术,对于个别外围供应商可能存在的OpenSSL漏洞,银联已通过主动排查,在网等技术人士公开漏洞事件前就已协调供应商消除了隐患,持卡人可以放心使用。