4月9日,安全协议OpenSSL被爆出惊天大漏洞,在黑客社区它被命名为“心脏出血”,表明网上出现了“致命内伤”。利用该漏洞,黑客可以获取约30%的https开头网址的用户登录账号密码,其中包括购物、网银、社交、门户等类型的知名网站。国内大部分网银(包括支付宝)、电子邮箱、动态网页都在波及名单之列,用户信息安全形势不容乐观!
“出血漏洞”或危及2亿用户
安全记录显示,4月7日凌晨,国内就出现了针对OpenSSL“心脏出血”漏洞的黑客攻击迹象。据360网站安全检测平台对国内120万家经过授权的网站扫描,其中有11440个网站主机受到此次OpenSSL“心脏出血”漏洞的影响,约有2亿网友访问了存在该漏洞的网站,期间造成的直接经济损失尚在评估中。
那么,何为“OpenSSL”?该OpenSSL“出血漏洞”又将有怎样的危害呢?对此,360安全工程师介绍,OpenSSL此漏洞堪称“网络核弹”,网银、网购、网上支付、邮箱等都会受到影响。因为有很多隐私信息都存储在网站服务器的内存中,无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。
严阵以待 360软硬防护力保用户安全
用户的信息安全就是生命!在漏洞爆发之前,360就已经率先开始了积极处理工作,一方面,及时向相关机构发出漏洞危机预警,并主动评估各大网站页面信息风险,协助相关安全部门完成补丁升级工作,另一方面,360也在软硬件端推出了多项应对防护措施,力保用户信息安全。
在软件上,360网站卫士在第一时间推出了OpenSSL漏洞在线检查工具,(wangzhan.360.cn/heartbleed),用户只要输入网址就能够检测网站是否存在该漏洞。同时,360还开通了用户服务热线:4000366588。用户在对该漏洞进行升级和维护网站过程中,可以拨打该热线,获得360免费全程技术支持等。
在硬件方面,360及时升级了将于近期发售的“360安全路由器”的多项软硬件设置,以化解“心脏出血”核心漏洞带来的威胁,其原理为:“360安全路由器”将内置“安全网址库”,该库会自动进行实时更新,并且路由器还将过滤一切非法IP,在信息的首尾两端进行双重防护。当用户访问网页时,路由器会根据“安全网址库”判断该网址是否安全,当确认地址存在OpenSSL风险时,它就会向用户发出预警提示,防止用户在不经意间泄露隐私。
另据记者了解,除了本次“心脏出血”风险,360还将其多年的安全技术优势与360安全路由结合,其独创的360sOS安全路由器系统和全球领先的网络安全技术,不仅可以防黑客暴力破解入侵,还可以从源头拦截恶意、欺诈网站,自动过滤木马、钓鱼网站,避免隐私数据泄露。
安全提示:暂不要在漏洞网站登录
截至记者发稿时,针对此次OpenSSL“心脏出血”漏洞,已经有多个大型互联网服务商宣布修复了该漏洞。然而,仍然有很多网站并未对OpenSSL进行升级,用户访问这些网站时,仍然存在个人信息泄露的风险。
对此,360安全工程师提醒广大站长,尽快将OpenSSL升级至1.0.1g版本,以修复该漏洞。如果通过检测发现问题,可以联系硬件设备提供商,通过软件升级或降级等方式进行修复。同时建议广大网友,暂时不要在受到漏洞影响的网站上登陆账号,尤其是那些没有明确采取补救措施的网站,访问更应慎之又慎。
■名词解释:
OpenSSL及其危害
SSL是为网络通信提供安全及数据完整性的一种安全协议。多数SSL加密的网站(比如购物、网银、社交、新闻门户、微博、微信等)都使用名为OpenSSL的开源软件包。
可以近似地说,OpenSSL是互联网上销量最大的“门锁”。而一旦该漏洞被黑客利用,黑客就可以远程获取被入侵网站的用户信息,包括登陆账号、密码等私密信息。
|