|
了互联网之后,互联网的安全问题就相伴而生。只要有程序员,就会有代码,只要有代码,就会有漏洞,然后就会有各种白帽子和黑客不断爆出各种漏洞,然后就是扫描、刷库、脱库、升级、修复,一系列组合拳打完收工,接下来等待的是下一次漏洞的降临。
细心的朋友可能已经发现了,那套组合拳是有讲究的,前三招永远在后两招之前,所以大家就不用担心自己的资料被泄露了,因为很可能已经泄露过多次了……一切都是最好的安排。
我个人虽然在软件行业很多年,但毕竟不是安全领域的,对这部分的技术可谓一知半解,或者四分之一解。比如我们为自己的软件产品加了功能权限、数据权限、代理权限、历史权限、密码策略、防 SQL 注入、防跨域攻击、SSL 数据加密等等,但这些措施在专业的黑客或白帽子眼中,基本上是形同虚设的。因为攻击往往来自应用系统的下层,比如操作系统漏洞,中间件漏洞、技术框架漏洞或协议漏洞等等。
新浪 http://jinan.jiaju.sina.com.cn/news/20140409/355322.shtml
中国新闻热线 http://www.zgxwrx.com/tech/dianshang/139702742214989.html
新华网 http://qy.bzxhw.com/gdkx/2014-04/09/60054.htm
中国网 http://xiaofei.china.com.cn/news/info-11-9-21956.html
所以,为了在江湖上立足,我特意结识了一些少年黑客(或白帽子),比如安全宝的道哥,知道创宇的余弦,还有不远万里没事就跑到中国进行义务教育的加拿大黑客厉哥等。当然,少年是和我相比,他们都是安全领域的行家里手,或老手,各个身怀绝技。并且,这些人估计昨晚都没睡觉,因为昨天互联网爆出了一个高危漏洞:OpenSSL Heartbleed 内存泄漏漏洞。他们几个估计都在挖的挖,堵的堵,补的补,忙的不亦乐乎,至于普通网民,咱们还是踏实睡觉,反正数据就在那里,不多不少。
我在文章开始提到过 SSL,这是互联网最常用的安全协议,作为互联网的用户,如果你访问的网址中有 https 的字样,那么说明这个网站采用了 SSL 协议,你和网站之间传输的数据都是加密的,即使其他人通过技术手段拦截了这些请求和响应,看到的也是密文。SSL 是互联网安全的基石之一,各大网银、支付、交易类网站大都采用了 SSL 协议。
OpenSSL 是一个开放源代码的、实现了 SSL 协议及相关加密技术的软件包,很多厂商都采用了这一技术实现安全数据传输。可以说,基于 OpenSSL 的 SSL 协议是互联网上安全通讯的工业标准,现在 OpenSSL 这个安全软件包本身爆出了内存漏洞,所以导致整个互联网的安全出现了问题。
安全靠锁,现在锁出事了,不是钥匙丢了,而是几乎所有人都可以打开这把锁(理论上)。
这个漏洞名为Heartbleed,译为心在滴血。想来也是,安全套件本身出了问题,无疑等于往心脏上插刀,不滴血才怪。该漏洞会随机泄漏采用了 OpenSSL 服务器的 64K 内存,内存中可能会含有程序代码、安全证书、HTTP原始请求、用户Cookie、邮件等隐私信息,黑客可以反复扫描获取数据进行比对,如果你有的是耐心和细心,那么扫描了足够多的数据之后,就有可能分析出某些倒霉用户的用户名和密码等安全信息。
关于这个漏洞的技术分析,请参考:http://drops.wooyun.org/papers/1381
更为麻烦的是,根据 OpenSSL 的版本记录,这个漏洞在2012年已经存在了,天知道那些黑客已经非法获取了多少用户信息。所以,很多搞安全的朋友告诉我,安全,有时候就是个笑话。
面对如此欣欣向荣的安全产业,做为一个普通网民,除了无可奈何之外,我们还能做些什么呢?其实我们还是可以做一些事情的,针对这个刚刚爆出来的漏洞,我们可以做的是:
新闻传媒网 http://www.xwcm.net/a/a/news/industry/ads-20140409448204.html
商界在线 http://www.shangjie.biz/shangxun/2014/0409/358020.html
焦点中国 http://www.1news1.com.cn/news/shenghuo/2014-4-9/1718204533.html
1、在这两天不要登录信息敏感的网站,比如网银、支付宝、电商等网站。已经访问了的,如果你足够小心,那么就修改密码吧。虽然通过扫描随机获取到你的账户信息的可能性非常小,一旦命中你,对你来说就是100%。
2、等待各大厂商升级软件版本,修补漏洞。因为本身漏洞出在服务器端,我们帮不上什么忙。
3、如果软件厂商提醒你升级证书,修改密码,照做即可,注意不要被钓鱼,趁火打劫也是国人特色。
长远来看,我们还可以做的一些事情是:
1、不要使用来历不明的软件,尽可能不使用盗版软件。
2、浏览器不要安装乱七八糟的插件,如果安装了,你最好知道它是干嘛的。
3、密码不要过于简单,比如123456或你的生日等,大小写字符+数字,算是合格的密码。
4、不要一个密码走遍天下,你应该为不同类型的网站准备多套密码方案,分级使用。
https://www.jiu-huo.com/index.php?_m=mod_product&_a=view&p_id=189 |
|