时间将会验证“心脏出血”漏洞后患

昨晚跟一位前黑客聊,对方称黑客从获得信息到实施盗窃一般都有个间隔时间,心脏出血的后果不会一时间显现出来,但隐患很大。

4月8日,网络安全协议OpenSSL被曝发现严重安全漏洞,在业内引发剧烈反响,不少媒体用“心脏出血”、“地震级网络灾难”、“年度最严重安全漏洞”等震撼说法加以形容,但在业外,大多数普通网民却是抱着一种“不明觉厉”的旁观心态,没有像上次携程“信用卡”门那样反应激烈,还有人还质疑是否在夸大其词或存在商业阴谋。

这是可以理解的,因为对普通人来说,携程漏洞事件“危害场景”很直白,就是用户在特定时间内登录携程支付时有可能被黑客窃取到信用卡密码。但这次“心脏出血”事件听起来却离网民有点远,人们一时半会儿无法准确评估自己会否被牵扯进去。

就其危害性,可以明确的说,这次“心脏出血”与携程事件不可同日而语,这是一个全球性的网络安全事件,从其代号“心脏流血”(Heartbleed)即可看出。漏洞大概是这样的:OpenSSL是目前互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议),很多电商、支付类接口、社交、门户网站都在应用此协议,但在某一个版本的设计和迭代时,因程序员的疏忽导致遗留下一个安全漏洞,而且,这个漏洞在长达两年的时间内没有被发现,直到最近。

“心脏流血”漏洞的危害很明显,它可以使不法之徒借漏洞盗取网民在特定网站的各种密码,包括网银。漏洞爆出后,产生两种后果,一是大量网站闻知立刻采取紧急修复措施;二是黑客也知道了这一消息,与网站赛跑趁机窃取信息。所谓道高一尺魔高一丈,不管网站修复的多迅速,但企业反映总是有个过程,在此过程中,很可能已经有信息失窃,更何况,还有大量安全意识差的网站没有第一时间修复漏洞。

还有一个都在担心,却无法在短期内证实的隐忧:长达两年的时间里,这个漏洞一直存在,会否有黑客早已悄悄的发现了这个漏洞,并已经采取了盗秘行动呢?

以上这几种后果,无论哪一种属实,都会在未来给网民造成严重损失,可能发生在明天,也可能发生在下个月,乃至明年,从这个角度说,对“心脏出血”保持高度警惕绝非杞人忧天。

网民的旁观与无动于衷,其实正反映出当下真实的网络安全意识现状。互联网飞速发展十几年,但从全球范围讲,危害大到足够震撼全社会的网络安全事件还一件都没有。安全是需要用户付出额外代价的,比如更换密码、记住密码就很麻烦,没有经受过切肤之痛,人们很难真正对网络安全重视起来。

这次“心脏出血”事件有可能会产生地震级的网络灾难,也有可能因为补救及时而幸运地平滑而过,但随着人们把越来越多的信息与财富放在网上,而防范意识又无法真正提高,早晚都难免会发生一起灾难性的网络安全大事件,这不是预言,这是宿命。

做好网络安全,网站有重要责任,但单靠网站单方面的升级与打补丁无济于事,网络安全更是每个人自己的事情,关注安全信息,定期安全密码,增加安全验证等等,这看起来很麻烦,但与互联网所带来便利相比,其实不算什么,就当做为享受互联网而支付的对价吧。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2014-04-13
时间将会验证“心脏出血”漏洞后患
昨晚跟一位前黑客聊,对方称黑客从获得信息到实施盗窃一般都有个间隔时间,心脏出血的后果不会一时间显现出来,但隐患很大。4月8日,网络

长按扫码 阅读全文