' U1 q$ W, r7 d' ]- @7 g' O------------------------------------------------------------------------------------------------------------------------------------------------------------------; C3 u/ M4 X1 ?: Z1 x
昨晚(4月8日)是黑客和白帽们的不眠之夜。他们有的在狂欢,逐个进入戒备森严的网站,耐心地收集泄漏数据,拼凑出用户的明文密码;有的在艰苦升级系统,统计漏洞信息,还要准备说服客户的说辞,让他们意识到问题的严重性;当然还有淼叔这样看热闹不嫌事大的,拼命恶补安全常识、寻找专家采访,试图记录这历史性的一夜。 : t" U5 f7 X0 O- R S% {6 d1 l; B: ~ r( q: X! ?" U
这一夜,互联网门户洞开。 ) _) Z- t1 E n- u# d, O4 `9 R % m3 a3 n7 h* {, ~6 W+ Z2 K基础安全协议“心脏出血”8 r9 F+ {( g+ ~; g2 D
: a2 w* T% |+ y2 x, v; F* Q
北京知道创宇公司的余弦守在电脑屏幕前彻夜未眠。作为一家高速发展的安全企业研究部总监,余弦在国内黑客圈资历颇深。他向淼叔介绍了这次事件的起源。该漏洞是由安全公司Codenomicon和谷歌安全工程师发现的,并提交给相关管理机构,随后官方很快发布了漏洞的修复方案。4月7号,程序员Sean Cassidy则在自己的博客上详细描述了这个漏洞的机制。 ; w4 `; o. M2 \0 y; u9 z( {+ M3 h( O" ]9 S% b" a
他披露,OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。4 z5 m. b# |# ~" g- k. _
4 B0 o& d G8 D! ]; FOpenSSL是目前互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。可以近似地说,它是互联网上销量最大的门锁。而Sean爆出的这个漏洞,则让特定版本的OpenSSL成为无需钥匙即可开启的废锁;入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据;假如户主不幸是一个开商店的或开银行的,那么在他这里买东西、存钱的用户,其个人最敏感的数据也可能被入侵者获取。6 c) P& x; b x
% \4 C" @( N4 U, \) x一位安全行业人士在知乎上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。 5 E4 B5 T7 H$ L7 m5 C) U9 M, \' s# }* o7 Z) H
发现者们给这个漏洞起了个形象的名字:heartbleed,心脏出血。这一夜,互联网的安全核心,开始滴血。 5 _* |4 {$ |4 t6 U! p Q 7 f) ?" E# I5 |中国有至少三万台机器“带病”# y4 Y7 Z9 {: u
发表于 2014-4-9 09:16:59
发表于 2014-4-9 13:48:26
要去银行改密码么
发表于 2014-4-9 10:35:07
发表于 2014-4-9 10:40:10
楼主
