□影響
互聯(lián)網(wǎng)安全大地震
“這是近兩年來(lái)最嚴(yán)重的一次網(wǎng)絡(luò)安全危機(jī)�?��!?60公司技術(shù)副總裁譚曉生評(píng)價(jià)��,在以https開(kāi)頭的網(wǎng)站中��,初步評(píng)估有不少于30%的網(wǎng)站中招���,其中包括大家最常用的購(gòu)物、網(wǎng)銀���、社交�、門(mén)戶等知名網(wǎng)站�,而在手機(jī)APP的網(wǎng)銀客戶端中,則有至少50%存在風(fēng)險(xiǎn)���。
據(jù)南京翰海源信息技術(shù)有限公司創(chuàng)始人方興介紹�����,通俗來(lái)講����,通過(guò)這個(gè)漏洞,可以泄露以下四方面內(nèi)容:一是私鑰��,所有https站點(diǎn)的加密內(nèi)容全能破解����;二是網(wǎng)站用戶密碼�����,用戶資產(chǎn)如網(wǎng)銀隱私數(shù)據(jù)被盜?���。蝗欠?wù)器配置和源碼��,服務(wù)器可以被攻破�;四是服務(wù)器掛掉不能提供服務(wù)。
一位安全行業(yè)人士透露����,他在某著名電商網(wǎng)站上用這個(gè)漏洞嘗試讀取數(shù)據(jù)����,在讀取200次后�,獲得了40多個(gè)用戶名、7個(gè)密碼��,用這些密碼���,他成功地登錄了該網(wǎng)站����。
昨天下午�,來(lái)自知道創(chuàng)宇ZoomEye網(wǎng)絡(luò)空間搜索引擎的監(jiān)控顯示,國(guó)內(nèi)有22611臺(tái)主機(jī)受影響���,而前天這個(gè)數(shù)字是33303����,可以看到情況正在好轉(zhuǎn)��,超過(guò)30%的主機(jī)已經(jīng)修復(fù)��。
“漏洞被挖掘出來(lái)以后�,帶來(lái)的危害并不會(huì)非?����?斓仫@現(xiàn)���。”瑞星安全專家唐威告訴記者�����,現(xiàn)階段企業(yè)層面能做的也是對(duì)使用的OpenSSL進(jìn)行排查和升級(jí)��。
不過(guò)�����,昨天也有業(yè)內(nèi)人士稱�����,這個(gè)漏洞其實(shí)并沒(méi)那么可怕��,因?yàn)檫@是一個(gè)舊版本OpenSSL的安全漏洞�����,開(kāi)發(fā)者把服務(wù)器程序升級(jí)到OpenSSL1.0.1g就可以解決���。
□回應(yīng)
銀行銀聯(lián)支付不受影響
對(duì)于OpenSSL的漏洞��,有傳言稱即便是銀行網(wǎng)上支付�、U盾�、銀聯(lián)支付也都并不安全。不過(guò)�,業(yè)內(nèi)人士昨天向記者坦言,該漏洞對(duì)銀行網(wǎng)上支付����、銀行U盾使用及銀聯(lián)的影響幾乎為零。
中國(guó)金融認(rèn)證中心應(yīng)用開(kāi)發(fā)部總經(jīng)理林峰表示�,OpenSSL的這個(gè)漏洞是由于代碼實(shí)現(xiàn)不嚴(yán)謹(jǐn)造成的。這個(gè)漏洞存在于OpenSSL1.0.1系列版本中��,之前的OpenSSL版本不受影響����。天貓、淘寶使用的正是這個(gè)系列的版本�����,所以可以竊取到內(nèi)存中的數(shù)據(jù)。
“如果銀行使用了帶有該漏洞的OpenSSL開(kāi)源軟件版本�,會(huì)有一定的影響。但是這個(gè)漏洞只是竊取內(nèi)存中的數(shù)據(jù)�����,銀行的用戶密碼還有一重加密保護(hù)����,一般不會(huì)在SSL服務(wù)器解密,所以也就很難拿到銀行用戶的密碼����?���!?/p>
林峰還表示,其實(shí)這個(gè)OpenSSL的漏洞和U盾的安全性沒(méi)有什么聯(lián)系��,因?yàn)橛脩舻慕灰酌舾行畔⑹峭ㄟ^(guò)USB接口送入U(xiǎn)盾后��,在U盾內(nèi)部進(jìn)行加密和數(shù)字簽名運(yùn)算��,SSL協(xié)議是對(duì)U盾加密簽名后的數(shù)據(jù)再進(jìn)行一次傳輸層的加密�����。這次OpenSSL的漏洞對(duì)U盾沒(méi)有影響。
此外���,中國(guó)銀聯(lián)相關(guān)負(fù)責(zé)人昨天也回應(yīng)稱�����,銀聯(lián)核心跨行交易系統(tǒng)運(yùn)營(yíng)基于專用網(wǎng)絡(luò)�����,與漏洞事件無(wú)關(guān)��。該負(fù)責(zé)人稱���,“銀聯(lián)在線支付”等基于互聯(lián)網(wǎng)的創(chuàng)新業(yè)務(wù)系統(tǒng)并未使用OpenSSL技術(shù),對(duì)于個(gè)別外圍供應(yīng)商可能存在的OpenSSL漏洞����,銀聯(lián)已通過(guò)主動(dòng)排查,在烏云網(wǎng)等技術(shù)人士公開(kāi)漏洞事件前就已協(xié)調(diào)供應(yīng)商消除了隱患���,持卡人可以放心使用���。
