首页 - 最新文章 - 资讯

OpenSSL危机涉及用户过亿解读年度最严重网络安全漏洞

电科技张晓冬04-10 02:19

近日，微软对Windows XP的停止服务使关于未来XP用户的系统安全性问题成为了社会各界热议的焦点，而就在XP停服的当天，OpenSSL却爆出了本年度最严重的安全漏洞，黑客社区将其命名为“心脏出血”。

相对于XP停服可能对XP用户带来的安全隐患，OpenSSL爆出的安全漏洞却足以波及所有采用SSL协议的网络设备，影响范围之广远胜前者，及时处理这一漏洞带来的信息安全问题，是目前互联网行业面对的最棘手的挑战。

何为OpenSSL

OpenSSL源于SSL，如同现在网络中常见的“开源”这一概念，SSL作为为网络通信提供安全以及数据完整性的一种安全协议，多数SSL加密的网站都使用名为OpenSSL的开源软件包。

作为互联网上应用最广泛的安全传输方法，经过多年的验证，业内各界均十分认可SSL协议的可靠性，目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。

OpenSSL囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,可以说基于这项技术，造就了目前网络上使用范围最广的一把“锁”。

而目前互联网用户常见的用户名登陆、网络身份验证都与OpenSSL的基础开发息息相关，所以，这一网络组成部分在网站服务器中的保密与安全性与用户个人隐私以及电子商务时代映射的用户个人经济财产利益息息相关。

如何利用OpenSSL漏洞威胁网络安全

众所周知，用户在网络页面上输入信息以及这些信息在网际间传输都有相应的安全协议保护并加密，确保用户的个人资料不被泄露。

但在最终经过网站服务器内存等硬件环节时，这些数据是不加密的，而这时如果黑客利用OpenSSL存在的漏洞，就能无需钥匙打开OpenSSL构成的安全之锁，窃取内部信息易如反掌。

相关人士透露，黑客利用漏洞向相关网站服务器发送一个数据包即可获得64K大小的数据反馈，长此以往，便会造成服务器中庞大的数据外泄，大大增加的受到安全威胁的用户数量。

而这些零散的数据文件同样需要黑客进行二次的组合分析，这期间用户并不能真正察觉数据外泄情况的发生，同样会使得这一事件影响的周期再度加长。

另外，同样有许多互联网软件开发模块基于SSL和OpenSSL设计，例如网站中的VPN设备以及邮件系统，这些终端同样存在诸多漏洞隐患，黑客依然可以利用相同的手段对其非法数据盗取。

有效应对OpenSSL危机是当务之急

据悉，全球共有超过4000万台服务器开启了SSL服务，据360网站安全检测平台对国内120万家经过授权的网站扫描，其中有11440个网站主机受OpenSSL“心脏出血”漏洞影响。4月7日、4月8日期间，共计约2亿网友访问了存在OpenSSL漏洞的网站。

360安全专家建议，在OpenSSL漏洞危险期间，应尽量避免登陆以Https形式登陆的网站，其中包括大家最常用的购物、网银、社交、门户、微博、微信、邮箱等知名网站和服务。

同时，360已经第一时间向12万网站用户发送提醒邮件，提醒广大站长尽快将OpenSSL升级至 1.0.1g 版本，以修复该漏洞。普通用户也可通过360网站卫士推出OpenSSL漏洞在线检查工具等手段判断当前网站的安全性，避免相应风险。

而对于已经修复过OpenSSL漏洞的网站，则建议用户尽早更改相应的登陆密码，使通过漏洞渠道窃取的相关信息失效，及时保护个人信息安全。

截至发稿前，包括阿里巴巴、腾讯等多个大型互联网服务商通过官微宣布，已经修复了该OpenSSL漏洞。同时360还开通了热线电话（4000366588），网站用户在升级和维护网站过程中，可以随时拨打该热线电话，获得360免费全程技术支持。

电科技（www.diankeji.com）是一家专注于全球TMT行业的领先资讯媒体。

作为今日头条青云计划、百家号百+计划获得者，2019百度数码年度作者、百家号科技领域最具人气作者、2019搜狗科技文化作者、2021百家号季度影响力创作者，曾荣获2013搜狐最佳行业媒体人、2015中国新媒体创业大赛北京赛季军、 2015年度光芒体验大奖、2015中国新媒体创业大赛总决赛季军、2018百度动态年度实力红人等诸多大奖。

投稿、商务合作请联络微信公众号

声明：本站原创文章文字版权归电科技所有，转载务必注明作者和出处；本站转载文章仅仅代表原作者观点，不代表电科技立场，图文版权归原作者所有。如有侵权，请联系我们删除。