国产VA在线观看免费,国产老女人卖婬,色综合视频一区二区三区,日本三区四区免费高清不卡

　　原標題：心臟滴血”再敲互聯網金融安全警鐘

　　記者像往常一樣，在睡前用平板電腦登錄自己的Tumblr(Yahoo旗下的博客網站)賬號，卻看到了一條出乎意料的“緊急安全更新”——壞消息：“絕大部分網站所使用的信息加密技術被證實包含嚴重漏洞，Tumblr也受到其影響。對此，我們的團隊立即采取了措施修復了漏洞，但我們依然建議您更改賬戶密碼。”

　　若不是這則通知，記者或許會忽視OpenSSL這次名為“心臟滴血(Heartbleed)”的網絡漏洞，作為一個日常僅僅局限于翻翻網頁、刷刷微博、偶爾在網上購物的普通網民，從未料到網絡安全風險居然離我們這么近

　　4月8日，國家信息安全漏洞共享平臺(CNVD)發布了對OpenSSL存在的一個內存信息泄露高危漏洞“心臟滴血”的通知。由于OpenSSL應用極為廣泛，包括政府機關、高校網站以及金融證券、電子商務、網上支付、即時聊天軟件、郵件系統等諸多服務提供商均受到漏洞影響，互聯網用戶個人信息與財產安全面臨著史無前例的巨大風險。

　　“心臟滴血”最早是由Google一支研究團隊和一家芬蘭安全公司Codenomicon同時發現的，被外界認為是至今影響最廣、后果最嚴重的網絡漏洞。更可怕的是，據悉，該安全漏洞實際存在已經超過兩年時間。這意味著在過去兩年中，互聯網用戶的個人信息實則均處于危險狀態。

　　　“心臟”為誰“滴血”

　　Codenomicon在“心臟滴血”網站(heartbleed.com)上如此解釋：“這項漏洞致使大量的用戶私鑰和其他隱秘信息暴露于網絡，考慮到漏洞存在時間長、攻擊者盜取方便、對賬戶的攻擊不留痕跡等因素，人們應當給予足夠的重視。”

　　Codenomicon負責人向媒體表示，“我們從攻擊者的角度，嘗試從外部對我們的某些服務進行攻擊，結果發現這樣的攻擊甚至不會留下任何痕跡。在不需要使用任何權限信息的情況下，我們居然輕易獲取了密鑰、用戶名、密碼、即時信息、郵箱信息以及公司重要的文件和通訊往來。”

　　國內資深網絡極客(Geek)Tombkeeper在接受《國際金融報》記者采訪時表示，“其實一則漏洞代碼從被寫入軟件到被發現，時隔兩年并不算特別長，很多漏洞都有十幾年的歷史。公眾對此不能接受，主要是因為對相關知識不夠了解。”

　　Tombkeeper認為，并不能說“心臟滴血”一直沒有被發現，只能說沒有向外界披露。

　　而被問及現在漏洞被公開是否會招致大量攻擊時，Tombkeeper表示并不擔心，原因是在公開的當日，主要網站已經基本完成了對漏洞的修復，并不會導致大規模的攻擊。“相反，如果不公開，大家不知道，網站就無法得到及時的修復，漏洞便可能長期被秘密掌握消息的人所利用。”事實上，已經有研究顯示，至少一個月前就已經有人在掃描該漏洞了。

　　隨后，Tombkeeper向記者詳細敘述了國內外各大網站針對“心臟滴血”漏洞的具體修復措施。“最為重要的是，應對可能已經泄露的信息做好備案，因為除非有特別的審計措施，絕大多數網站可能無法統計有多少敏感信息由于漏洞而被竊取。”

　　Tombkeeper表示，這些信息可能包括證書、Cookie、用戶名密碼等。“證書好辦，可以重新申請頒發，最多就是花點錢；Cookie也相對好辦，尤其是有些網站原本就對Cookie泄露有對抗策略；但是用戶名和密碼就比較揪心了。”

　　盡管相比于證書和Cookie，網站更容易得知是否因漏洞泄露了用戶名和密碼，也更容易統計出在漏洞細節紕漏后到漏洞修復前有多少用戶登錄過，但是接下來的處理要困難得多。

　　“給這些用戶發消息通知改密碼？從安全的角度說，這可能是個好辦法，但未必會得到公關部門的支持。”對此，Tombkeeper建議，受影響的網站，尤其是用于購物、支付等用戶賬號價值較高的網站，應對密碼可能被盜取的用戶進行額外風控措施，比如更嚴格的IP登錄地址檢查、更嚴格的資金監控、更嚴格的異常操作監控等。

　　互聯網金融安全隱患

　　北京知道創宇信息科技有限公司研究部總監、《Web前端黑客技術解密》作者余弦在接受《國際金融報》記者采訪時坦言，這次漏洞對公眾網絡安全和財產安全確實帶來了影響。“采用https這種基于OpenSSL組件的網站，用戶登錄的賬號密碼、隱私消息等都有可能因為這個漏洞而被攻擊者盜取。”

　　知道創宇作為國內有影響力的互聯網安全公司，在本次事件中負責為CNVD提供技術支撐。余弦稱，由于采用https的網站大多具有一定的規模，財產保護機制的建設也較為完善，所以目前還沒有直接證據表明用戶的財產受到損失。但是，這個漏洞可能會間接對用戶財產造成損失，“比如賬號密碼的泄露可能導致被用于實施釣魚攻擊。”

　　盡管“心臟滴血”已經導致使用該協議的各大網銀、在線支付、電商網站、門戶網站、電子郵件等服務面臨安全風險，但各個行業所受影響實則輕重不同。

　　余弦認為這次事件并不會使網銀用戶蒙受經濟損失。他告訴記者，“心臟滴血”這一漏洞，形象地說，就好比是一個人去銀行存錢，告訴工作人員“我要存5萬元”，工作人員在存單上填了5萬元，“存款者”實則并沒有把錢交給銀行工作人員，隨后“存款者”又申請把這5萬元全額取出，而工作人員卻真的將5萬元現金交給了“存款者”。“當然這里的‘現金’并不是真正的現金，大家不需要過于擔心，而且攻擊者對原先在網銀中的財產根本沒有辦法移動。”

　　奇虎360網絡信息安全專家譚曉生也告訴《國際金融報》記者：“此次網銀并不會成為重災區，銀行應該會使用其他付費加密產品，反倒是電商網站、第三方支付、社交網站絕大多數都使用OpenSSL，受到的沖擊更大一些。”

　　據了解，時下的互聯網公司普遍選擇OpenSSL。一來是出于作用與效果的考慮，二來則是因為它是免費的。

　　“銀行一般會傾向于購買收費的軟件，當然不排除收費軟件也有一部分是在OpenSSL基礎上修改而成的，但肯定還有一部分是不同于OpenSSL的，所以網銀受到的危害就相對有限。”譚曉生認為，這次事件最嚴重的后果并不是直接的經濟損失，而是用戶信息的泄露，這就相當于銀行卡的密碼被偷，并不意味著錢財的直接損失，“當然，如果銀行卡密碼被犯罪分子所利用，通過比如復制一張銀行卡等手段，回過頭來還是可能把錢偷走”。

　　在漏洞被曝光的第二天，美國恰逢股市飄紅，專家紛紛開始猜測對互聯網金融安全依舊心有余悸的公眾是否可能就此轉戰股市，為投資市場掀起一波新的熱潮。

　　上海一位從事股票經紀工作的李女士就向《國際金融報》記者坦言：“接下來這段時間，我會密切關注科技股的情況。”李女士認為，互聯網金融大熱的局面或多或少會受到這次OpenSSL網絡漏洞的影響，“即使不是直接轉戰股票市場，但至少大家的心理會產生一定的變化。畢竟涉及到了錢，大家都會比較謹慎。”

　　然而，堅信這次事件并不會對互聯網金融產生顯著影響的人也不在少數，譚曉生就是其中的一位。“互聯網金融的優勢還是在它的收益性，比如比存款享有更高的收益、享受更低的貸款利息，這些都是實實在在的好處。”

　　盡管并不完全認同，譚曉生卻不得不承認，公眾對網絡安全的問題并不是特別敏感，這次事件對大家的影響可能會持續一兩周，但隨后便會被淡忘，“這次漏洞不會對互聯網金融產生大的影響，甚至公眾原有的購物習慣也不會因此有所改變。”

　　不可否認，“心臟滴血”之所以受到那么大的關注，甚至在漏洞被曝出后的幾個小時就先后占領各大科技報章雜志及網站首頁，在很大程度上也是受益于互聯網金融和移動支付受到追捧，越來越多公眾選擇網購和使用第三方支付業務，也就有越來越多用戶在意自己的網絡隱私和網上交易動態。

　　盡管截至記者發稿前，國內并未被曝出因本次事件而導致個人信息被盜并遭受財產損失的情況，但也給愈發依賴網絡的當下公眾提了一個醒。余弦認為，“心臟滴血”應當為公眾敲響警鐘，“安全是動態的，這是共識。實際上，每年都會出現兩到三次全球性的安全事件，用戶應當要提高警惕，風險是一直存在的。”

　　手機客戶端風險未除

　　就在漏洞被曝出的4月8日下午，絕大多數受到影響的網站都已經完成了修復工作。然而，到了4月9日，奇虎360的研究人員發現該漏洞影響了網站，由于OpenSSL不僅適用于網站，也可以使用在手機客戶端，所以手機客戶端的信息也同樣面臨風險。但和網站有專業人員修復漏洞的情況不同，手機客戶端的漏洞，目前看來無法很快得以修復，而用戶也無法通過更改密碼確保安全。這一判斷也得到互聯網金融安全方面專家“小微封”CEO徐海光的認同。徐海光認為必須再加一把“安全鎖”，即自己的設備(如手機)識別，“加鎖”后即使密碼被盜也不怕。

　　在徐海光說的新技術尚未推廣使用的現在，最現實的自我保護方式依然是更改密碼。“第一步該做的是改密碼。”譚曉生說，“尤其是在4月7日至9日登錄過電商網站的。很多人在漏洞網站會使用同一個密碼，可能會被有心的攻擊者多次利用，所以最好都能改掉。”

　　讓大量“果粉”備感欣慰的是，“心臟滴血”漏洞并未使蘋果公司受到影響。蘋果方面表示，一直以來都對安全問題給予了高度的重視，iOS和OXS系統程序未使用此次發現漏洞的軟件，因此主要的網絡服務都未受到影響。

　　而相比之下，成千上萬的安卓手機和平板電腦用戶就沒那么幸運了。黑客如今仍然可能悄無聲息地將他們的密碼、信用卡信息、加密密鑰甚至其他敏感數據盜走。上周，負責發布與更新的Google產品經理Matthew O’Connor在個人博客中稱：除去安卓4.1.1以外所有的安卓系統都不會受到“心臟滴血”影響，而針對這一版本的補丁信息正在向設備制造商和手機運營商分發。盡管該版本發行于2012年，但由于系統兼容問題，預計有數百萬安卓用戶如今仍然在使用這一版本的系統。據Google方面消息，多達34.4%的安卓用戶使用4.1 - 4.2版本的系統，而使用4.1.1系統的精確數據仍不得而知。

　　安全專家認為，盡管Google旗下包括Google搜索、Gmail、YouTube、Google地圖在內的絕大多數業務都已經修復了漏洞，但是配備安卓程序的設備并不容易排除安全風險。網絡安全公司Lacoon Security總經理Michael Shaulov向媒體透露，“最重要的原因之一就是安卓的更新周期很長，設備制造商和運營商需要一同修復這項漏洞，這會是一個漫長的過程。”

　　而移動安全公司Lookout首席安全研究員Marc Rogers認為，就目前看來沒有跡象表明黑客試圖利用“心臟滴血”攻擊安卓設備，因為針對移動設備的攻擊不僅更為復雜，成功率也很低。

　　全球市場壓力大

　　4月8日漏洞消息一出，加拿大稅收部門暫時關閉了網上業務，加拿大稅務局(CRA)在其官方網站上發布公告稱：“暫停網上業務可能會對加拿大公民、個人與企業帶來巨大的不便，因此造成違約的納稅人將得到加拿大稅務局的諒解。”

　　即使如此，依然有900人的社會保險號碼在加拿大稅務局網站遭竊。CRA方面表示，在得知“心臟滴血”漏洞后即可對網站系統進行了更新，而就在漏洞公布至修復完成的這短短6小時內就被攻擊者鉆了空子。

　　“很遺憾，在這6小時中依然有加拿大納稅人的信息被竊取，”CRA在對加拿大媒體發布的聲明中寫道，“就目前我們的分析數據來看，攻擊者利用漏洞將大約900位納稅人的社會保險號碼(SIN)從CRA系統中移除，我們正努力對其他數據碎片進行分析，部分企業的信息可能也已經被移除。”

　　據悉，SIN被盜的個人將會通過由CRA寄出的掛號信得知該消息，“稅務局不會通過打電話或私人郵件告知受到影響的用戶，這么做也是為了確保雙方溝通的安全，杜絕不法分子利用此事進行網絡釣魚詐騙。”

　　英國網絡安全公司Check Point董事Keith Bird對此表示，黑客利用漏洞行動速度非常快。“加拿大稅務局公開宣布只采用掛號信形式與受害者聯系是最為正確的做法，這樣一來任何企圖通過郵件和電話與納稅人取得聯系的行為就能被定性為詐騙。”

　　Keith Bird接著說，“接下來幾天這樣的公開聲明會接踵而至，現階段最重要的事情之一就是提醒公眾，對于那些打著機構旗號發送的通知郵件千萬要提高警惕，不要去點擊里面的所謂安全地址。無論郵件本身看起來有多像真的，很可能只是黑客偽造出的釣魚郵件，目的還是為了竊取用戶的個人信息和密碼。”

　　世界各地的公司都在“心臟滴血”漏洞公布后第一時間開始修復工作，而美國政府和當地的科技公司對此次事件更是高度重視。包括美國思科、惠普、IBM、因特爾、瞻博網絡在內的公司都已經就漏洞可能導致的危害向顧客發出警告，大多數公司已經完成漏洞的修復。

　　此外，美國監管部門也警示金融機構切莫忽視“心臟滴血”的危害。聯邦金融機構檢察委員會在發給銀行的通告中寫道：“攻擊者可能通過解密、欺詐、對網絡通訊過程的中間人進行攻擊的方式竊取信息；攻擊者可能冒充銀行或用戶，盜取登錄憑證，訪問敏感的電子郵件，或訪問內部網絡。”美聯儲表示，目前仍不清楚對于是否已經存在針對該漏洞的攻擊。