本篇文章3969字,读完约10分钟

从昨天开始,一个名为“流血的心”的网络安全漏洞引起了广泛关注,可以称之为“年度安全漏洞”。谷歌研究员尼尔·梅赫塔(neel mehta)首次发现了这个名为“心痛”的漏洞。它可以从特定的服务器上随机获取64k的工作日志。整个过程就像钓鱼一样。攻击可能会一次又一次地继续,大量敏感数据可能会泄露。公布该漏洞信息的权威网站Heartbleed详细公布了该漏洞的原理和修复方法。类似的网络安全漏洞去年也发生过一次。去年,一个由java struts 2引起的漏洞出现了,这导致了“用java struts 2的这种结构开发的程序将被黑客攻击”。这是由主要针对电子商务网站的编程语言造成的漏洞事件,对银行构成了重大威胁。安全专家、360副总裁兼首席隐私官谭告诉Timotion MeDIa,今年的openssl漏洞比去年的java事件影响更大,可以理解为全面覆盖了所有行业。谭从网络安全的角度分析并推广了这一漏洞。作为一个依靠互联网生存的网民,你需要知道什么?根据谭的现场讲话和问答,钛媒对核心问题进行了如下梳理:漏洞在哪里?网络安全漏洞很常见。去年,java struts 2在行业中造成了一个漏洞,导致“用这种java struts 2结构开发的程序将被黑客攻击”。这是由主要针对电子商务网站的编程语言造成的漏洞事件,对银行构成了重大威胁。这一次,漏洞被命名为“心脏出血”,根本原因是基本的安全通信方法有问题。什么是ssl?安全套接字层(ssl)是一种安全协议,是一种在通信过程中进行加密传输的协议。网景公司推出了第一个版本的网络浏览器。谭举了一个很流行的例子来说明:当我们需要有人寄信的时候,如果你把这封信写得很清楚,有人就可以打开它,在传输过程中阅读信的内容。自古以来,人们就开始将信件视为“秘密文本”,没有密码对照表的人是无法理解的(这与潜伏时期地下组织使用的秘密信息是一样的)。在计算机通信领域,也有同样的加密技术。我把这封“信”放在传输过程中——例如,当我在网络上传输它时,我对内容加密,然后在接收端解锁。当我们加密它时,我们必须有一个协议,这类似于讨论“我过去发送了什么”,然后当你接受它时解密它——这导致了ssl协议。这个协议,最终,计算机世界中的某个人必须把它写入一个程序,供每个人使用。随着开源软件的日益普及,一些人已经制作了openssl开源软件,因此openssl是一种广泛应用于互联网的网络加密通信软件。许多制造商已经使用openssl软件进行加密,包括国际知名的网络设备制造商。这一次,他们也毫无例外地被招募;国内用户不仅知道他们使用openssl的网站,而且大多数vpn设备都使用openssl代码(通过功能扩展或性能增强),因此一些硬件和机顶盒也可能受到影响,因为设备中的供应商可能使用openssl协议。

安全专家解读:有关“心脏出血”漏洞 你应该了解什么?

这次漏洞暴露后,黑客会有什么样的攻击?当用户选择在网络上进行加密通信时,他们认为我传输的东西更关键,比如我的用户名和密码、信用卡号、银行卡号和支付密码。甚至一些见不得人的东西,比如色情照片,都是通过加密邮件加密的,这是一种常见的加密通信。在电子商务网站和网上银行系统中,基本协议是ssl。原因是ssl协议在过去已经被证明是可靠的,协议本身是相对安全的,协议中的密钥每次都是动态变化的,等等,这就产生了一系列的安全机制。

安全专家解读:有关“心脏出血”漏洞 你应该了解什么?

关注最关心的金融话题,一起讨论。

简而言之,黑客攻击类似的网站和系统是通过“攻击服务器并拿出密钥”。然而,黑客能否成功获取加密私钥,在安全领域各方仍有争议,360公司负责网络安全的工程师正在对此进行评估。预计会带来什么危害?首先,一旦造成了伤害,就永远不会像过去的漏洞那么简单。也就是说,如果软件开发人员或安全专家弥补了这个漏洞,不再发生,一切都会好的——这次事件的预测有一个很长的开始和结束,这次事件的攻击方法应该在4月7日被攻击之前流传一段时间。美国的一个网站在一周前修复了这个,也就是说,他们中的一些人知道这个信息并提前修复了它。一些黑客得到了这种攻击方法。在4月7日宣布这一事件之前,黑客有可能在互联网上扫描并收集这些信息,然后收集64k和64k的数据,然后使用它们。伤害和侵权终于产生了。例如,当我拿了陈涛的卡号和支付密码,我不必马上取钱,所以他赌他不知道,他可能不会及时更改密码。我花了半个月的时间,然后大家的警惕性下降了,或者我用其他网站的账号慢慢再黑一次,然后我拿了东西,以后处理时间造成的危害和这件事情的影响会逐渐暴露出来。第二,由于openssl的vpn服务在过去是成功的,用户多,影响广。

安全专家解读:有关“心脏出血”漏洞 你应该了解什么?

9日中午,360公司刚刚处理完北京大学的vpn设备问题。工程师从北京联通找到了一台ip扫描仪设备,扫描后返回的结果是有问题的。在360名相关人员发现此事后,他们询问了北京大学网络中心的人,对方说他们昨天发现了此事,因为是vpn设备,他们联系了制造商,但制造商没有回应。360联系了服务制造商,制造商给出的建议是“软件降级”。

安全专家解读:有关“心脏出血”漏洞 你应该了解什么?

问题来了:受漏洞影响的设备制造商通常反应不够快。在生死关头,解决漏洞问题的办法应该是“软件升级”,但制造商不能及时提供一个版本来修复当前的漏洞供用户升级,所以它不得不给出“降级”的建议。第三,它将产生深远的影响。由于openssl,当其他人使用它时,他们不仅将它作为一个独立的软件使用,而且将它作为一个基本模块使用。也就是说,当我建造房子的时候,我用这种砖来建造房子,并且认为它更坚固。结果,我们发现这块砖是豆腐渣,里面有很大的问题,有一天这块砖可能会在一定的压力下破碎,特别是当它被用来建造不同的房子时。影响范围是什么?据相关媒体报道,目前中国有近3万台服务器受到该漏洞的影响。360公司的安全部门也在第一时间进行了扫描。“世界上大约有4000万台服务器已经开通了ssl服务,而拥有ssl服务的机器也已经在中国开通。我们的数字与另一家制造商的数字非常接近。他淘汰了3000万台,我们淘汰了4000万台;其中,中国约有3万台服务器安装了openssl软件,约有3万台服务器受到影响。”我们估计,在过去两天(4月7日、8日),用户访问了30,000台服务器,大约1.5亿到2亿台。这可能不会影响到某个人,但有关系的是,用户在过去两天已经登录了一些电子商务网站,这两天风险很大。一些信息可能被黑客窃取。服务提供商和个人应该如何应对?最需要了解的两个事实是:首先,淘宝和支付宝已经确认它们已经被修复;第二,在确认登录网站已经修复后,更改密码是最直接有效的方法。网站应该尽快升级openssl。它原来是4月7日发布的openssl0.1g之前的版本,所以没问题。我们检测到的网站只有大约一半已经升级,超过一半还没有升级。大型网站反映迅速。基本上,他们昨晚一夜之间升级了。然而,中小型网站,如政府机构,将行动缓慢,其中一半以上还没有升级。网站升级了。企业应该检查自己的东西是否有问题。如果他们能升级,他们就会升级。我们找不到服务提供商。这真的不可能。我们还开通了热线。我们的工程师会等到每个人都能升级。对于个人来说,如果你已经登录了一个网站,需要输入一个登录帐户或网上银行,下一个最好的方法是检查软件和漏洞是否已经修复。比如淘宝和支付宝,我们已经确认这些站昨晚已经修好了。对于仍将长期使用这些网站的个人来说,最彻底的方法是更改他们的密码——但你不能先匆忙更改所有的密码。首先,看看网站是否修复了所有错误的部分。如果所有的漏洞都被填补了,用户可以再次更改他们的密码。这是最有效的个人防护方法。此外,还有一个问题,谁负责通知那些可能有漏洞的网站?国内网络安全供应商提供相关服务。谭萧声说,奇虎360的产品为这项服务被称为“360网站安全扫描”。目前,已有120万个网站在其系统中注册。“我们有网站管理员的联系信息,当我们扫描网站时,我们发现有10,000多个网站存在问题,我们直接向这10,000多个网站发送电子邮件,告诉网站管理员存在漏洞。具体数字约为11,400家,约为中国合规网站数量的三分之一。另外三分之二的人已经扫描了数据,但是没有办法联系到站长。”然而,业界有一个遗憾:作为一家提供安全服务的公司,很难在修复漏洞方面有所作为。因为修复“流血的心”漏洞将涉及用户在自己的服务器上修改软件,作为第三方软件制造商,涉及用户信息是“非常困难的”。

安全专家解读:有关“心脏出血”漏洞 你应该了解什么?

(关注更多钛媒作者的意见,参与钛媒微信互动(微信搜索“钛媒”或“泰美提”)

三链:吃昆虫、吃厕所和油炸??3.模纸锻造,模具模具模具模具模具模具模具模具模具模具模具??. 95镣铐和镣铐??0.07%锝58.....

当前流行度:0

[娇娇]http://itougu.jrj/view/189514.j.....

当前流行度:0

1.1 .涓涓细流??邦邦、邦邦、邦邦、交邦和廖廖??要坚强,要坚强。.....

当前流行度:0

你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道........

当前流行度:0

缇落入三条锁链??3镝??6铥??0(乌桕脂含有3条链吗??4镝??4铥??0)死,死,死,死又死,4.72??......

当前流行度:0

那墙,墙,墙和墙呢??钳子里有丰富的镰刀、叉子、叉子、nan和链条,这些都是銮棒的来源.....

当前流行度:1

你想挑起镝,破坏哮喘吗??缇,汤,汤,3汤和柊镶嵌??链条??4."敌鲁,缇,汤,汤,汤."??.....

当前流行度:0

咸丰、大树、细垴、十二寸、相互涓涓??环秀细链,涓涓细流,砸铙钹,甩铙钹,砸铙钹,砸铙钹,砸响,砸得咝咝作响??葛格·岳格·柊.....

当前流行度:0

来源:国土报中文版

标题:安全专家解读:有关“心脏出血”漏洞 你应该了解什么?

地址:http://www.g3gw.com/new/9765.html