阿里腾讯宣布修复心脏出血漏洞,你真的可以放心了吗?
作者: 日期:2014年04月11日 阅:3,196

Heartbleed_Hazards

昨日针对此前网络加密软件OpenSSL爆出的高危漏洞,阿里巴巴、腾讯、京东等国内多家互联网公司做出回应称,已经修复漏洞,请用户放心使用。包括淘宝、天猫、支付宝等各大网站也都确认可以放心使用。腾讯方面也回应称,目前相关产业业务如邮箱、财付通、QQ、微信等都已经修复完毕。此外京东、苏宁易购等多家电商企业也表示已经修复漏洞,且目前未收到因漏洞导致用户账户资金丢失等情况反馈。

如果“心脏出血”这么轻描淡写就给修复了,为什么顶尖安全专家们会把“心脏出血”漏洞称作互联网大劫难呢?作为普通用户你真的可以像阿里巴巴说的那样放心了吗?

反正安全牛不太放心,首先这些宣布“迅速”修复漏洞的网站没有一家建议用户修改密码,而“心脏出血”漏洞的最重要的桥段就是在中招网站宣布修复漏洞后,用户应当立刻修改密码。因斯诺登事件而一炮走红的知名安全专家Bruce Schneier给出的建议也是“立即重置所有密码”。而剑桥大学计算机实验室的一位研究人员认为,督促所有人重置密码是过激反应,但并不是个坏主意,因为修改密码很容易。

对于企业用户,需要有专门的安全培训来指导员工检查安全证书发放日期,确保包括网银等网络服务商确实重新发放了证书。

一个比较要命的问题是,对于产品线复杂的大型电商和社交网站来说,“心脏出血”漏洞真的能在一两天内就被修复吗?

首先我们需要自我科普一下,OpenSSL“心脏出血”漏洞影响范围很广,包括FTP、pop3、smtp、IMAP、XMPP等协议,波及大量软件和操作系统,不仅仅是给web服务器打个补丁那么简单。

更糟糕是,也是目前国内媒体鲜有提及的一点,“心脏出血”漏洞不仅仅存在于网站,还存在于电脑、智能手机甚至无线路由器等终端中。系统网络安全协会(SANS)的William昨日在演讲中发出警告,虽然不如苹果加密软件漏洞gtofail那么普遍,但是存在于用户终端中的”心脏出血”漏洞很容易被恶意的服务器端攻击,例如黑客可以利用这个漏洞对公共WiFi热点发起攻击兵获取大量隐私数据。

然后,如果你不相信某些企业的公关部门,如何确认这些网站真的修复了漏洞?

taobao

4月11日凌晨的淘宝检测截图(lastpass)

类似2013年全球多起重大数据泄露事故后走红的haveibeenpwned.com这样的数据泄露查询网站,目前包括Qualys SSL LabsLastPassfilippo.io/Heartbleed等第三方安全机构已经能够提供网站“心脏出血”漏洞修补状况查询服务。Mashabe也给出了一个大型网站漏洞修补状态表(主要是国外网站)。

作为普通用户我们如何应对这次“互联网911”,从中能够吸取什么额外的教训?

安全牛以前喜欢把所有账户都用一个密码管理器管理起来,桌面端移动端通过云同步,又专业又“安全”又方便。但是这次Lasspass这样的老牌密码管理器也中招,导致本牛需要修改所有账户密码,肠子都悔青了。从此本牛将遵从微软一位安全大师的建议,将密码写小纸条上贴显示器后面。

最后,务必确认你常使用的网站已经修补“心脏出血”漏洞后再去修改密码,否则会适得其反,暴露你更多的个人信息。再次提醒!千万不要在多个网络服务中使用相同的密码,共勉!

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章