4月9日,安全協議OpenSSL被爆出驚天大漏洞,在黑客社區它被命名為“心臟出血”,表明網上出現了“致命內傷”。利用該漏洞,黑客可以獲取約30%的https開頭網址的用戶登錄賬號密碼,其中包括購物、網銀、社交、門戶等類型的知名網站。國內大部分網銀(包括支付寶)、電子郵箱、動態網頁都在波及名單之列,用戶信息安全形勢不容樂觀!
“出血漏洞”或危及2億用戶
安全記錄顯示,4月7日凌晨,國內就出現了針對OpenSSL“心臟出血”漏洞的黑客攻擊跡象。據360網站安全檢測平臺對國內120萬家經過授權的網站掃描,其中有11440個網站主機受到此次OpenSSL“心臟出血”漏洞的影響,約有2億網友訪問了存在該漏洞的網站,期間造成的直接經濟損失尚在評估中。
那么,何為“OpenSSL”?該OpenSSL“出血漏洞”又將有怎樣的危害呢?對此,360安全工程師介紹,OpenSSL此漏洞堪稱“網絡核彈”,網銀、網購、網上支付、郵箱等都會受到影響。因為有很多隱私信息都存儲在網站服務器的內存中,無論用戶電腦多么安全,只要網站使用了存在漏洞的OpenSSL版本,用戶登錄該網站時就可能被黑客實時監控到登錄賬號和密碼。
嚴陣以待 360軟硬防護力保用戶安全
用戶的信息安全就是生命!在漏洞爆發之前,360就已經率先開始了積極處理工作,一方面,及時向相關機構發出漏洞危機預警,并主動評估各大網站頁面信息風險,協助相關安全部門完成補丁升級工作,另一方面,360也在軟硬件端推出了多項應對防護措施,力保用戶信息安全。
在軟件上,360網站衛士在第一時間推出了OpenSSL漏洞在線檢查工具,(wangzhan.360.cn/heartbleed),用戶只要輸入網址就能夠檢測網站是否存在該漏洞。同時,360還開通了用戶服務熱線:4000366588。用戶在對該漏洞進行升級和維護網站過程中,可以撥打該熱線,獲得360免費全程技術支持等。
在硬件方面,360及時升級了將于近期發售的“360安全路由器”的多項軟硬件設置,以化解“心臟出血”核心漏洞帶來的威脅,其原理為:“360安全路由器”將內置“安全網址庫”,該庫會自動進行實時更新,并且路由器還將過濾一切非法IP,在信息的首尾兩端進行雙重防護。當用戶訪問網頁時,路由器會根據“安全網址庫”判斷該網址是否安全,當確認地址存在OpenSSL風險時,它就會向用戶發出預警提示,防止用戶在不經意間泄露隱私。
另據記者了解,除了本次“心臟出血”風險,360還將其多年的安全技術優勢與360安全路由結合,其獨創的360sOS安全路由器系統和全球領先的網絡安全技術,不僅可以防黑客暴力破解入侵,還可以從源頭攔截惡意、欺詐網站,自動過濾木馬、釣魚網站,避免隱私數據泄露。
安全提示:暫不要在漏洞網站登錄
截至記者發稿時,針對此次OpenSSL“心臟出血”漏洞,已經有多個大型互聯網服務商宣布修復了該漏洞。然而,仍然有很多網站并未對OpenSSL進行升級,用戶訪問這些網站時,仍然存在個人信息泄露的風險。
對此,360安全工程師提醒廣大站長,盡快將OpenSSL升級至1.0.1g版本,以修復該漏洞。如果通過檢測發現問題,可以聯系硬件設備提供商,通過軟件升級或降級等方式進行修復。同時建議廣大網友,暫時不要在受到漏洞影響的網站上登陸賬號,尤其是那些沒有明確采取補救措施的網站,訪問更應慎之又慎。
■名詞解釋:
OpenSSL及其危害
SSL是為網絡通信提供安全及數據完整性的一種安全協議。多數SSL加密的網站(比如購物、網銀、社交、新聞門戶、微博、微信等)都使用名為OpenSSL的開源軟件包。
可以近似地說,OpenSSL是互聯網上銷量最大的“門鎖”。而一旦該漏洞被黑客利用,黑客就可以遠程獲取被入侵網站的用戶信息,包括登陸賬號、密碼等私密信息。
(新聞稿 2014-04-10)