OpenSSL漏洞数据安全事项

2019-04-2916:35:00 发表评论

OpenSSL是一套具有稳固、商业用途且开放原始码的SSL工具套件,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。

OpenSSL漏洞数据安全事项

举个不完全恰当的例子,OpenSSL相当于一个高级别的“密码锁”,广泛应用于需要加密的通讯传输协议,比如账号登陆、网银支付等。很多网站为了增加自身的安全性都使用了OpenSSL这把高级“密码锁”。

但现在有黑客经过多年研究,找到了这个密码锁的钥匙,就是今天提到的重大漏洞“Heartbleed(心脏流血)”。而拿着钥匙的人可以轻易打开这个锁,来每次盗取64K大小的核心用户资料,比较可怕的是,虽然每次只能盗取64K大小的文件,但盗取次数不限。

本次漏洞影响范围特别广泛,基本上所有使用HTTPS开头的网站都会受到影响。据网络空间搜索引擎Zoomeye发布的数据表示,国内有3万多个网络端口有可能受到此次漏洞的影响。

据公开资料显示,这一漏洞影响了OpenSSL的1.0.1和1.0.2测试版。目前OpenSSL已经发布了1.0.1g版本以修复这一问题。被漏洞问题波及的网站只需要更新OpenSSL的版本就可以不再受此漏洞的影响。

截至发稿时,Zoomeye公布了已完成本漏洞修复的一部分大型网站,12306铁路客户服务中心、微信公众号、微信网页版、QQ信箱、陌陌、雅虎、比特币中国、支付宝、知乎、淘宝网、360应用等,百度也发消息声称百度钱包等应用不受本次漏洞影响,而中国电信、京东商城等目前尚处于未修复状态。

就本次OpenSSL漏洞事件本身来说,如果升级的版本可以解决该漏洞问题,那么此事将很快告一段落。

但漏洞事件背后还存在两个问题,一个是用户,本次漏洞事件涉及到基本所有Https开头的网址,虽然目前没有官方数据公布是否有人受到影响,但这个漏洞已经存在2年时间,不排除已经有黑客盗取了相关数据。所以为了稳妥,用户可以把保密级别比较高的网银、支付相关的密码进行修改。

另外据一位银行的朋友说,银行系统由于系统比较复杂,修复该漏洞可能最长需要2天时间。如果大家觉得不够安全,可以在2天之后把密码再修改一次。

同时,作为普通用户在日常使用中尽量提高自己的密码保护级别。设置比较高级别的密码,使用网站提供的一些密码保护类产品都可以提高个人的安全级别。举个例子,如果一个密码锁需要一个开锁专家用3个小时破解,那无疑比一个外行人顺手打开要安全许多。

当然,如果遇到类似OpenSSL这种问题,普通用户是没任何办法避免的。

另一个问题是被漏洞波及到的各大网站,应该及时修复OpenSSL漏洞,防止更多的用户受到侵害。庆幸的是,今天很多人在浏览未修复OpenSSL的网站时,已经得到提示不要做比较危险的支付操作。           OpenSSL漏洞事件仅仅反映出了冰山上的一角,还有更多危险是藏在水下的冰山。

科技双刃剑的效应越来越无法避免。互联网产品在带给人们足够大方便的同时,又隐藏着巨大的安全风险。而方便和危险就像一个硬币的两面,无法分割。

圣经中提到,我坐下,我起来,你都晓得。你从远处知道我的意念。我行路,我躺卧,你都细察。你也深知我一切所行的。知道你一切行为的只有上帝吗?不是,还有互联网时代的大数据。

谷歌、亚马逊等公司的诸多产品都乐于让媒体曝光,藉此让更多公众知晓。唯独大数据领域的采访最为严格,需要经过董事会的批准才可以进行。

因为大数据太敏感了。一方面媒体曝光容易引发安全问题,即使媒体发布的信息是对安全问题的褒奖,也涉及到的内容也可能被有心人趁虚而入。另一方面,用户对自己数据也非常敏感,大数据经常会引发关于个人隐私问题的质疑。

但是,不管说与不说,我们每个人已经被互联网时代裹挟,想独善其身是不可能的。拿比互联网更为基础的手机应用来举个例子,如果移动运营商来分析某一个人的手机,只要查出他每次通话时候所使用的基站,就可以知晓他的生活、工作规律,所处位置。几点起床,几点上班,几点忙碌。有无出差,出差频率,范围等等。

而到互联网、移动互联网领域的应用,个人数据泄露就更加广泛而全面。用户在使用互联网沟通、购物、搜索、社交等基本应用的同时,个人的行为习惯、兴趣爱好甚至更高级别的手机、身份证、支付密码等所有的数据都有可能被泄露。即使排除被不道德取得的数据,仅仅从不用加密的数据中,也可以得到足够多的信息。

CE安全网
CE安全网广告位招租

发表评论

您必须登录才能发表评论!