色国语普通话对白视频­_国产偷∨国产偷∨精品视频­_无码中文367中文无码­_最新在线国产网站青涩­_尤物视频在线观看网站

　　“4月8日是黑客和白帽子們的不眠之夜。”有人這樣形容。早上還在討論WIN XP停止服務(wù)，到晚上已到處是OpenSSL的漏洞消息。
　　OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，在各大網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等廣泛使用。就是這個被許多企業(yè)和服務(wù)商用來加密數(shù)據(jù)的安全協(xié)議，爆出了本年度最嚴重的安全漏洞——黑客可以利用這個漏洞從服務(wù)器內(nèi)存中竊取64KB數(shù)據(jù)，64KB數(shù)據(jù)量并不大，但黑客可以重復(fù)利用該漏洞，多次竊取數(shù)據(jù)，并可能因此獲得用戶的加密密鑰，解密敏感數(shù)據(jù)。
　　打個比方，OpenSSL是目前互聯(lián)網(wǎng)上應(yīng)用最廣“門鎖”，而這個漏洞讓特定版本的OpenSSL成了不設(shè)防的保險箱。

　　驚現(xiàn)安全漏洞
　　黑客、白帽子們忙了一夜

　　“（這個消息）我們最初是在海外論壇上看到的，很快傳回了國內(nèi)。”金山首席安全專家李鐵軍說，4月7日（美國當?shù)貢r間）有黑客公布了舊版本OpenSSL的安全漏洞，“因為漏洞機制描述得非常詳細，很快就在圈內(nèi)傳開了。”
　　漏洞的發(fā)布在一個相當危險的時間點——黑客們已經(jīng)紛紛出動，而一些公司的負責人卻正在睡覺。發(fā)現(xiàn)者們給這個漏洞起了個相當形象的名字“heartbleed”，直譯為“心臟出血”。這一夜，互聯(lián)網(wǎng)的安全核心，開始滴血。
　　黑客、白帽子們、運維主管、安全廠商們，聞著“血”而動：他們有的開始狂歡，逐一進入戒備森嚴的網(wǎng)站，收集泄露數(shù)據(jù)；有的開始測試有多少網(wǎng)站受到影響以及推出檢測腳本；有的在統(tǒng)計漏洞信息，還要準備說服客戶，解釋問題的嚴重性；有的連夜開始緊急預(yù)警修復(fù)升級系統(tǒng)版本；WooYun漏洞平臺上很多白帽子開始對大范圍網(wǎng)站進行了測試刷分，場面頗為壯觀……而普通網(wǎng)民們卻毫不知情。
　　“很快，甚至有黑客發(fā)布了舊版本OpenSSL的‘傻瓜攻擊’。”李鐵軍解釋說，這意味著非專業(yè)技術(shù)人員只要依樣畫葫蘆就能利用漏洞從服務(wù)器內(nèi)竊取數(shù)據(jù)。
　　“收到這個漏洞后我們最先測試了支付寶，確認存在此漏洞，發(fā)起檢測。之后我們又發(fā)現(xiàn)雅虎門戶主頁、微信公眾號、微信網(wǎng)頁版、YY語言、淘寶、網(wǎng)銀、陌陌、社交、門戶網(wǎng)站存在此漏洞。”網(wǎng)友Evi1m0在知乎上透露，“在一個社交網(wǎng)站中我獲取到了用戶登錄的帳號以及密碼甚至是安全問題與答案。這里的密碼使用的明文傳輸，以至于通過這樣的漏洞攻擊，我成功地登錄了上百個賬戶，當然我什么都沒做，出于測試而已。”

　　國內(nèi)知名網(wǎng)站幾無幸免
　　目前支付寶、淘寶已修復(fù)漏洞

　　這個漏洞影響究竟有多大？安全專家們不約而同地推薦參考zoomeye（鐘馗之眼）的掃描數(shù)據(jù)，這是一個網(wǎng)絡(luò)空間搜索引擎，業(yè)界公認的權(quán)威。根據(jù)zoomeye系統(tǒng)掃描，中國全境至少有33303臺服務(wù)器受本次OpenSSL漏洞影響。網(wǎng)易、微信、QQ郵箱、陌陌、雅虎、比特幣中國、支付寶、知乎、淘寶網(wǎng)、360應(yīng)用、京東、YY語言……從消費到通訊、社交，國內(nèi)知名網(wǎng)站幾乎無一幸免。而很多用戶毫不知情，仍然在訪問著老虎嘴中的站點。
　　幸好，官方很快發(fā)布了漏洞的修復(fù)方案：因為這是一個舊版本OpenSSL的安全漏洞，開發(fā)者把服務(wù)器程序升級到OpenSSL1.0.1g可以解決。
　　“目前騰訊幾大產(chǎn)品線已經(jīng)都升級修復(fù)了，而且反復(fù)進行了掃描，確保漏洞已經(jīng)被修復(fù)。”騰訊相關(guān)負責人表示，在騰訊相關(guān)的產(chǎn)品業(yè)務(wù)如郵箱、財付通、QQ、微信等都已經(jīng)可以放心使用。
　　“阿里旗下網(wǎng)站已經(jīng)都沒有問題了。”阿里集團相關(guān)負責人也表示，技術(shù)部門一得到漏洞消息就連夜進行了版本升級，修復(fù)了漏洞。目前支付寶、淘寶、天貓都可以正常使用。
　　截止記者發(fā)稿時，包括支付寶、淘寶、微信、QQ平臺、網(wǎng)易、12306鐵路客戶服務(wù)中心等在內(nèi)大型網(wǎng)站已修復(fù)漏洞。

　　應(yīng)對未知風險
　　安全專家給出兩條建議

　　互聯(lián)網(wǎng)門戶洞開的“驚魂一夜”過去了，從開始到基本結(jié)束，絕大多數(shù)網(wǎng)友都一無所知。
　　我們安全了嗎？
　　從zoomeye系統(tǒng)的掃描結(jié)果看，比33303臺服務(wù)器受漏洞影響更讓人擔心的是：這些服務(wù)器有的在銀行網(wǎng)銀系統(tǒng)中；有的部署在第三方支付里；有的在大型電商網(wǎng)站；有的在網(wǎng)絡(luò)郵箱、即時通訊系統(tǒng)中……
　　“特別是現(xiàn)在互聯(lián)網(wǎng)金融和第三方支付的發(fā)展非常迅速，這意味著以前用銀行卡、POS機進行的交易都將逐漸轉(zhuǎn)移到互聯(lián)網(wǎng)上，這對網(wǎng)絡(luò)安全提出了越來越高的要求。”李鐵軍坦承比用戶端更不可控的是服務(wù)端，如果黑客入侵了服務(wù)器，受損的遠不止公司一個個體，還包括存放于公司數(shù)據(jù)庫的大量用戶敏感資料。
　　“這個漏洞據(jù)說早在2012年就被挖掘出來，直到昨天CVE納入編號CVE-2014-0160，8號才正式爆發(fā)。”Evi1m0也在知乎上透露，“使用HTTPS的網(wǎng)站大多是因為數(shù)據(jù)需加密防止嗅探等攻擊的發(fā)生，漏洞爆發(fā)后徹底將這層大門打破，于是很多網(wǎng)站處于被監(jiān)聽的狀態(tài)中。”
　　兩年多時間，誰也不知道是否已經(jīng)有黑客利用漏洞獲取了用戶資料；而且由于該漏洞即使被入侵也不會在服務(wù)器日志中留下痕跡，所以目前還沒有辦法確認哪些服務(wù)器被入侵，也就沒法定位損失、確認泄漏信息，從而通知用戶進行補救。
　　“最近兩天不要登錄未修復(fù)的服務(wù)器，以免自投羅網(wǎng)，即使想要修改用戶名或密碼也等幾天再改。”幾位安全專家給出的建議都很一致。因為最近幾天網(wǎng)友登錄一些關(guān)鍵服務(wù)網(wǎng)站，若網(wǎng)站未完成漏洞修復(fù)，登錄信息就可能被黑客遠程捕獲。
　　盡管zoomeye的掃描結(jié)果及涉及名單已經(jīng)被提交給國家互聯(lián)網(wǎng)應(yīng)急中心，按照流程應(yīng)由后者進行全國預(yù)警，但截止記者發(fā)稿時，在國家互聯(lián)網(wǎng)應(yīng)急中心官網(wǎng)上尚無相關(guān)信息發(fā)布。
　　事實上，除了移動、聯(lián)通等這些大型企業(yè)外，國家互聯(lián)網(wǎng)應(yīng)急中心也沒有強制力確保其他公司看到預(yù)警內(nèi)容，舊版本OpenSSL的安全漏洞修復(fù)時間是個不確定值。
　　對于普通用戶怎么辦呢？除了在確認有關(guān)網(wǎng)站安全之前，不要使用網(wǎng)銀、電子支付和電商購物等功能，以避免用戶密碼被漏洞后的黑客捕獲外。
　　安全專家們給出了兩條建議：一是對重要服務(wù)，盡可能開通手機驗證或動態(tài)密碼，比如支付寶、郵箱等。登錄重要服務(wù)，不僅僅需要驗證用戶名密碼，最好綁定手機，加手機驗證碼登錄。這樣就算黑客拿到賬戶密碼，登錄還有另一道門檻。二是如果隨著事件進展，可能受累及的網(wǎng)絡(luò)服務(wù)在增加或更明確，建議用戶修改重要服務(wù)的登錄密碼。而且一個密碼的使用時間不宜過長，超過3個月就該換掉了。