安全专家解读：有关“心脏出血”漏洞你应该了解什么？-国土报中文版

本篇文章3969字，读完约10分钟

从昨天开始，一个名为“流血的心”的网络安全漏洞引起了广泛关注，可以称之为“年度安全漏洞”。谷歌研究员尼尔·梅赫塔(neel mehta)首次发现了这个名为“心痛”的漏洞。它可以从特定的服务器上随机获取64k的工作日志。整个过程就像钓鱼一样。攻击可能会一次又一次地继续，大量敏感数据可能会泄露。公布该漏洞信息的权威网站Heartbleed详细公布了该漏洞的原理和修复方法。类似的网络安全漏洞去年也发生过一次。去年，一个由java struts 2引起的漏洞出现了，这导致了“用java struts 2的这种结构开发的程序将被黑客攻击”。这是由主要针对电子商务网站的编程语言造成的漏洞事件，对银行构成了重大威胁。安全专家、360副总裁兼首席隐私官谭告诉Timotion MeDIa，今年的openssl漏洞比去年的java事件影响更大，可以理解为全面覆盖了所有行业。谭从网络安全的角度分析并推广了这一漏洞。作为一个依靠互联网生存的网民，你需要知道什么？根据谭的现场讲话和问答，钛媒对核心问题进行了如下梳理:漏洞在哪里？网络安全漏洞很常见。去年，java struts 2在行业中造成了一个漏洞，导致“用这种java struts 2结构开发的程序将被黑客攻击”。这是由主要针对电子商务网站的编程语言造成的漏洞事件，对银行构成了重大威胁。这一次，漏洞被命名为“心脏出血”，根本原因是基本的安全通信方法有问题。什么是ssl？安全套接字层(ssl)是一种安全协议，是一种在通信过程中进行加密传输的协议。网景公司推出了第一个版本的网络浏览器。谭举了一个很流行的例子来说明:当我们需要有人寄信的时候，如果你把这封信写得很清楚，有人就可以打开它，在传输过程中阅读信的内容。自古以来，人们就开始将信件视为“秘密文本”，没有密码对照表的人是无法理解的(这与潜伏时期地下组织使用的秘密信息是一样的)。在计算机通信领域，也有同样的加密技术。我把这封“信”放在传输过程中——例如，当我在网络上传输它时，我对内容加密，然后在接收端解锁。当我们加密它时，我们必须有一个协议，这类似于讨论“我过去发送了什么”，然后当你接受它时解密它——这导致了ssl协议。这个协议，最终，计算机世界中的某个人必须把它写入一个程序，供每个人使用。随着开源软件的日益普及，一些人已经制作了openssl开源软件，因此openssl是一种广泛应用于互联网的网络加密通信软件。许多制造商已经使用openssl软件进行加密，包括国际知名的网络设备制造商。这一次，他们也毫无例外地被招募；国内用户不仅知道他们使用openssl的网站，而且大多数vpn设备都使用openssl代码(通过功能扩展或性能增强)，因此一些硬件和机顶盒也可能受到影响，因为设备中的供应商可能使用openssl协议。

安全专家解读：有关“心脏出血”漏洞你应该了解什么？

这次漏洞暴露后，黑客会有什么样的攻击？当用户选择在网络上进行加密通信时，他们认为我传输的东西更关键，比如我的用户名和密码、信用卡号、银行卡号和支付密码。甚至一些见不得人的东西，比如色情照片，都是通过加密邮件加密的，这是一种常见的加密通信。在电子商务网站和网上银行系统中，基本协议是ssl。原因是ssl协议在过去已经被证明是可靠的，协议本身是相对安全的，协议中的密钥每次都是动态变化的，等等，这就产生了一系列的安全机制。

安全专家解读：有关“心脏出血”漏洞你应该了解什么？

关注最关心的金融话题，一起讨论。

简而言之，黑客攻击类似的网站和系统是通过“攻击服务器并拿出密钥”。然而，黑客能否成功获取加密私钥，在安全领域各方仍有争议，360公司负责网络安全的工程师正在对此进行评估。预计会带来什么危害？首先，一旦造成了伤害，就永远不会像过去的漏洞那么简单。也就是说，如果软件开发人员或安全专家弥补了这个漏洞，不再发生，一切都会好的——这次事件的预测有一个很长的开始和结束，这次事件的攻击方法应该在4月7日被攻击之前流传一段时间。美国的一个网站在一周前修复了这个，也就是说，他们中的一些人知道这个信息并提前修复了它。一些黑客得到了这种攻击方法。在4月7日宣布这一事件之前，黑客有可能在互联网上扫描并收集这些信息，然后收集64k和64k的数据，然后使用它们。伤害和侵权终于产生了。例如，当我拿了陈涛的卡号和支付密码，我不必马上取钱，所以他赌他不知道，他可能不会及时更改密码。我花了半个月的时间，然后大家的警惕性下降了，或者我用其他网站的账号慢慢再黑一次，然后我拿了东西，以后处理时间造成的危害和这件事情的影响会逐渐暴露出来。第二，由于openssl的vpn服务在过去是成功的，用户多，影响广。

安全专家解读：有关“心脏出血”漏洞你应该了解什么？

9日中午，360公司刚刚处理完北京大学的vpn设备问题。工程师从北京联通找到了一台ip扫描仪设备，扫描后返回的结果是有问题的。在360名相关人员发现此事后，他们询问了北京大学网络中心的人，对方说他们昨天发现了此事，因为是vpn设备，他们联系了制造商，但制造商没有回应。360联系了服务制造商，制造商给出的建议是“软件降级”。

安全专家解读：有关“心脏出血”漏洞你应该了解什么？

问题来了:受漏洞影响的设备制造商通常反应不够快。在生死关头，解决漏洞问题的办法应该是“软件升级”，但制造商不能及时提供一个版本来修复当前的漏洞供用户升级，所以它不得不给出“降级”的建议。第三，它将产生深远的影响。由于openssl，当其他人使用它时，他们不仅将它作为一个独立的软件使用，而且将它作为一个基本模块使用。也就是说，当我建造房子的时候，我用这种砖来建造房子，并且认为它更坚固。结果，我们发现这块砖是豆腐渣，里面有很大的问题，有一天这块砖可能会在一定的压力下破碎，特别是当它被用来建造不同的房子时。影响范围是什么？据相关媒体报道，目前中国有近3万台服务器受到该漏洞的影响。360公司的安全部门也在第一时间进行了扫描。“世界上大约有4000万台服务器已经开通了ssl服务，而拥有ssl服务的机器也已经在中国开通。我们的数字与另一家制造商的数字非常接近。他淘汰了3000万台，我们淘汰了4000万台；其中，中国约有3万台服务器安装了openssl软件，约有3万台服务器受到影响。”我们估计，在过去两天(4月7日、8日)，用户访问了30，000台服务器，大约1.5亿到2亿台。这可能不会影响到某个人，但有关系的是，用户在过去两天已经登录了一些电子商务网站，这两天风险很大。一些信息可能被黑客窃取。服务提供商和个人应该如何应对？最需要了解的两个事实是:首先，淘宝和支付宝已经确认它们已经被修复；第二，在确认登录网站已经修复后，更改密码是最直接有效的方法。网站应该尽快升级openssl。它原来是4月7日发布的openssl0.1g之前的版本，所以没问题。我们检测到的网站只有大约一半已经升级，超过一半还没有升级。大型网站反映迅速。基本上，他们昨晚一夜之间升级了。然而，中小型网站，如政府机构，将行动缓慢，其中一半以上还没有升级。网站升级了。企业应该检查自己的东西是否有问题。如果他们能升级，他们就会升级。我们找不到服务提供商。这真的不可能。我们还开通了热线。我们的工程师会等到每个人都能升级。对于个人来说，如果你已经登录了一个网站，需要输入一个登录帐户或网上银行，下一个最好的方法是检查软件和漏洞是否已经修复。比如淘宝和支付宝，我们已经确认这些站昨晚已经修好了。对于仍将长期使用这些网站的个人来说，最彻底的方法是更改他们的密码——但你不能先匆忙更改所有的密码。首先，看看网站是否修复了所有错误的部分。如果所有的漏洞都被填补了，用户可以再次更改他们的密码。这是最有效的个人防护方法。此外，还有一个问题，谁负责通知那些可能有漏洞的网站？国内网络安全供应商提供相关服务。谭萧声说，奇虎360的产品为这项服务被称为“360网站安全扫描”。目前，已有120万个网站在其系统中注册。“我们有网站管理员的联系信息，当我们扫描网站时，我们发现有10，000多个网站存在问题，我们直接向这10，000多个网站发送电子邮件，告诉网站管理员存在漏洞。具体数字约为11，400家，约为中国合规网站数量的三分之一。另外三分之二的人已经扫描了数据，但是没有办法联系到站长。”然而，业界有一个遗憾:作为一家提供安全服务的公司，很难在修复漏洞方面有所作为。因为修复“流血的心”漏洞将涉及用户在自己的服务器上修改软件，作为第三方软件制造商，涉及用户信息是“非常困难的”。

安全专家解读：有关“心脏出血”漏洞你应该了解什么？