昨晚,记者辗转采访到漏洞独立发现者——芬兰Codenomicon(科诺康)公司,其负责人称,目前互联网安全“攻”“防”双方都在与时间赛跑:黑客试图大量嗅探盗取信息;白帽黑客则想方设法修复漏洞。
“邮件、数据传输、网银支付等都被殃及,这一漏洞可谓核弹级。”昨晚,科诺康公司上海办事处灯火通明。公司通告显示,目前有近66%的互联网暴露于攻击下。那么,这一安全漏洞为何尚未全部修复就已泄露?科诺康公司称,上周其技术团队发现OpenSSL高危零日漏洞(指危害大且首次发现的漏洞),命名为“心脏出血”,随后上报芬兰计算机安全应急响应组(CERT-FI)。按正常流程,CERT会联系各国相关机构,通知客户及时修复该漏洞。这一过程是秘密进行的。然而,有部分得到通知的客户在解决问题后通过博客披露,导致漏洞过早暴露于公众视界,从而引来专注破坏、攻击的“黑客”。
市信息安全行业协会副秘书长王怀宾表示,“心脏出血”是近年发现的最严重互联网安全漏洞,受影响网站须升级软件才有可能避免造成用户损失,建议个人用户近期减少网上支付动作。“当然,如果有网银U盾或手机动态密码,资金安全还是有保障的。”
另据了解,大的互联网企业反应迅速。记者查询发现,雅虎、谷歌、Facebook、支付宝等都在官网申明,该漏洞已修复。但仍有不少中小网站,还没有意识到这一漏洞的危害。
【相关链接】
SSL是一种流行加密技术,当用户访问Gmail.com等安全网站时,会在URL地址旁看到一个“锁”,表明在该网站上的通讯信息都被加密,第三方无法读取。在后台,通过SSL加密的数据只有接收者才能解密。如果不法分子监听了用户对话,也只能看到一串随机字符串。然而,最近Codenomicon和谷歌安全部门发现,多数SSL加密网站使用的OpenSSL开源软件包,居然存在着严重的安全漏洞“心脏出血”,可能导致用户通讯信息暴露给监听者。
