□影響
互聯(lián)網(wǎng)安全大地震
“這是近兩年來最嚴重的一次網(wǎng)絡(luò)安全危機���?���!?60公司技術(shù)副總裁譚曉生評價,在以https開頭的網(wǎng)站中�����,初步評估有不少于30%的網(wǎng)站中招,其中包括大家最常用的購物�����、網(wǎng)銀��、社交���、門戶等知名網(wǎng)站�����,而在手機APP的網(wǎng)銀客戶端中,則有至少50%存在風險。
據(jù)南京翰海源信息技術(shù)有限公司創(chuàng)始人方興介紹�����,通俗來講��,通過這個漏洞���,可以泄露以下四方面內(nèi)容:一是私鑰�����,所有https站點的加密內(nèi)容全能破解;二是網(wǎng)站用戶密碼���,用戶資產(chǎn)如網(wǎng)銀隱私數(shù)據(jù)被盜?����?;三是服務(wù)器配置和源碼���,服務(wù)器可以被攻破�;四是服務(wù)器掛掉不能提供服務(wù)。
一位安全行業(yè)人士透露��,他在某著名電商網(wǎng)站上用這個漏洞嘗試讀取數(shù)據(jù)���,在讀取200次后����,獲得了40多個用戶名、7個密碼����,用這些密碼�����,他成功地登錄了該網(wǎng)站。
昨天下午�,來自知道創(chuàng)宇ZoomEye網(wǎng)絡(luò)空間搜索引擎的監(jiān)控顯示���,國內(nèi)有22611臺主機受影響��,而前天這個數(shù)字是33303,可以看到情況正在好轉(zhuǎn)����,超過30%的主機已經(jīng)修復(fù)。
“漏洞被挖掘出來以后,帶來的危害并不會非常快地顯現(xiàn)�?!比鹦前踩珜<姨仆嬖V記者���,現(xiàn)階段企業(yè)層面能做的也是對使用的OpenSSL進行排查和升級����。
不過,昨天也有業(yè)內(nèi)人士稱�����,這個漏洞其實并沒那么可怕,因為這是一個舊版本OpenSSL的安全漏洞�,開發(fā)者把服務(wù)器程序升級到OpenSSL1.0.1g就可以解決��。
□回應(yīng)
銀行銀聯(lián)支付不受影響
對于OpenSSL的漏洞,有傳言稱即便是銀行網(wǎng)上支付���、U盾、銀聯(lián)支付也都并不安全��。不過�,業(yè)內(nèi)人士昨天向記者坦言,該漏洞對銀行網(wǎng)上支付�、銀行U盾使用及銀聯(lián)的影響幾乎為零��。
中國金融認證中心應(yīng)用開發(fā)部總經(jīng)理林峰表示,OpenSSL的這個漏洞是由于代碼實現(xiàn)不嚴謹造成的���。這個漏洞存在于OpenSSL1.0.1系列版本中,之前的OpenSSL版本不受影響�����。天貓��、淘寶使用的正是這個系列的版本�����,所以可以竊取到內(nèi)存中的數(shù)據(jù)�。
“如果銀行使用了帶有該漏洞的OpenSSL開源軟件版本,會有一定的影響��。但是這個漏洞只是竊取內(nèi)存中的數(shù)據(jù)�����,銀行的用戶密碼還有一重加密保護�,一般不會在SSL服務(wù)器解密����,所以也就很難拿到銀行用戶的密碼。”
林峰還表示���,其實這個OpenSSL的漏洞和U盾的安全性沒有什么聯(lián)系,因為用戶的交易敏感信息是通過USB接口送入U盾后,在U盾內(nèi)部進行加密和數(shù)字簽名運算,SSL協(xié)議是對U盾加密簽名后的數(shù)據(jù)再進行一次傳輸層的加密���。這次OpenSSL的漏洞對U盾沒有影響。
此外,中國銀聯(lián)相關(guān)負責人昨天也回應(yīng)稱�����,銀聯(lián)核心跨行交易系統(tǒng)運營基于專用網(wǎng)絡(luò)�����,與漏洞事件無關(guān)�����。該負責人稱,“銀聯(lián)在線支付”等基于互聯(lián)網(wǎng)的創(chuàng)新業(yè)務(wù)系統(tǒng)并未使用OpenSSL技術(shù)�,對于個別外圍供應(yīng)商可能存在的OpenSSL漏洞��,銀聯(lián)已通過主動排查��,在烏云網(wǎng)等技術(shù)人士公開漏洞事件前就已協(xié)調(diào)供應(yīng)商消除了隱患��,持卡人可以放心使用。
