计算机病毒和黑客攻击之所以能够得逞,是因为系统和网络中存在安全漏洞。这是造成黑客入侵和网络安全问题的根本原因。漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体来说,漏洞可能来自操作系统或应用软件设计时的缺陷或编码时产生的人为错误,也可能来自业务流程设计时存在的错误或不合理的地方。别有用心的人或组织会利用这些漏洞,攻击或控制信息系统、窃取信息、篡改用户数据等。从目前发现的漏洞来看,应用软件中的漏洞远远多于操作系统中的漏洞。据我国互联网应急中心发布的数据显示,2012年按漏洞影响对象类型统计,排名前三的分别是应用程序漏洞(占61.3%)、Web应用漏洞(占27.4%)和操作系统漏洞(占4.7%)。
心脏出血漏洞
心脏出血漏洞(Heartbleed bug),也称为心血漏洞,是一个出现在开源加密库OpenSSL中的程序错误。OpenSSL广泛用于实现互联网的安全套接层(TLS)协议。该漏洞是因为在处理安全套接层(TLS)心跳扩展中缺乏边界检查,所以被归为缓冲过渡读取。(www.xing528.com)
OpenSSL的修复版本于2014年4月7日发布,在同一时间漏洞被公开披露。在其披露时,约有17%(大约50万)通过认证机构认证的互联网安全网络服务器被认为容易受到攻击,导致服务器私钥和用户会话Cookie及密码被盗。该漏洞可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。一位安全行业人士透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
截至2014年4月9日,我国安全技术专家经过系统扫描,统计发现我国全境有1 601 250台机器使用443端口,其中有33 303台受本次OpenSSL漏洞影响。443端口仅仅是OpenSSL的一个常用端口,用以进行加密网页访问;其他还有邮件、即时通信等服务所使用的端口,因时间关系,尚未来得及扫描。比3万台问题服务器更令人惊心的,是这些服务器的分布:它们有的在银行网银系统中,有的被部署在第三方支付里,有的在大型电商网站,还有的在邮箱、即时通信系统中。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
