请警惕“心脏出血”
2014-04-21
4月8日,OpeonSSL曝出被称为“心脏出血”(Heartbleed)的安全漏洞。中国计算机学会计算机安全专业委员会主任严明说,这个漏洞是强地震级别的,就像家里的门虽然很坚固,也锁好了,但是忽然发现窗户其实是虚掩着的。
随着信息安全技术的发展,业界厂商针对木马、病毒的防护水平逐渐提升,使它们“作恶”的空间越来越有限。然而,系统本身的安全漏洞仍层出不穷,并逐渐成为更为严重的安全隐患。同样是4月8日,微软官方全面停止对Windows XP系统的支持和补丁的更新,为Windows XP系统带来了出现漏洞无法修补的隐忧。
“心脏出血”之所以被严明称为强地震级别,是因为SSL早已成为互联网上普遍使用的加密协议,被广泛应用在各类网站上,特别是金融、支付、邮件等需要较高安全级别的互联网应用上。而OpeonSSL由于是开源的SSl套件,应用的范围更加广泛。有人估算,大约有三分之二的网站都在使用OpeonSSL的加密工具,而加密工具本身出现安全漏洞,后果不堪设想。
据了解,“心脏出血”漏洞能让攻击者从服务器内存中读取包括用户名、密码和信用卡号等隐私信息在内的数据。虽然利用该漏洞可被读取的信息不多,但是如果攻击者反复进行内存读取,仍然可以获得大量的用户隐私信息。更为重要的是,该漏洞已经存在了两年之久。在这两年内,究竟有多少攻击者利用该漏洞获取了多少隐私信息,想想就让人不寒而栗。
我们一直强调,当风暴来临时,除了专业的机构为抵御风暴所做的努力外,每个人都应该尽量做好自己的安全防护,自己为自己的安全负责。事实上,在信息安全领域,用户每一个良好的使用习惯,可能比安全厂商所做的很多努力都更为有效,因为防患于未然总比亡羊补牢强得多。
下面,我们就为读者提供几条建议,帮助大家应对我们不得不接触、不得不面对的互联网安全威胁。首先是更改密码,并使用两步验证。受过去两年“心脏出血”漏洞的影响,一些用户的通信记录可能会遭到拦截,为了避免发生这样的情况,更改密码仍然是用户首先要做的。而且,很多网站都提供两步验证功能,即在更改密码时还需要回答问题或者短信验证,这样就为用户的密码提供了更好的保障。其次是监控近期的账户活动。现在很多网站都会提供账户登录记录,比如该账户在何时、何地通过什么样的设备登录等。请读者留意自己的互联网应用账户的登录情况,如果发现登录异常则应立即更改密码。再次是尽快安装自己系统的安全升级补丁,这是填补自身系统漏洞的最为有效的手段。最后是当心公共场所的无线网络。因为智能手机与公共无线网络连接在一起的设置很容易被攻击者利用。(程彦博)endprint