網際網路"心臟出血" 360安全路由止血

2023-09-15 08:38:07

    4月9日，安全協議OpenSSL被爆出驚天大漏洞，在黑客社區它被命名為「心臟出血」,表明網上出現了「致命內傷」。利用該漏洞,黑客可以獲取約30%的https開頭網址的用戶登錄帳號密碼,其中包括購物、網銀、社交、門戶等類型的知名網站。國內大部分網銀（包括支付寶）、電子郵箱、動態網頁都在波及名單之列，用戶信息安全形勢不容樂觀！

    「出血漏洞」或危及2億用戶

    安全記錄顯示，4月7日凌晨，國內就出現了針對OpenSSL「心臟出血」漏洞的黑客攻擊跡象。據360網站安全檢測平臺對國內120萬家經過授權的網站掃描，其中有11440個網站主機受到此次OpenSSL「心臟出血」漏洞的影響，約有2億網友訪問了存在該漏洞的網站，期間造成的直接經濟損失尚在評估中。

    那麼，何為「OpenSSL」？該OpenSSL「出血漏洞」又將有怎樣的危害呢？對此，360安全工程師介紹，OpenSSL此漏洞堪稱「網絡核彈」，網銀、網購、網上支付、郵箱等都會受到影響。因為有很多隱私信息都存儲在網站伺服器的內存中，無論用戶電腦多麼安全，只要網站使用了存在漏洞的OpenSSL版本，用戶登錄該網站時就可能被黑客實時監控到登錄帳號和密碼。

    嚴陣以待 360軟硬防護力保用戶安全

    用戶的信息安全就是生命！在漏洞爆發之前，360就已經率先開始了積極處理工作，一方面，及時向相關機構發出漏洞危機預警，並主動評估各大網站頁面信息風險，協助相關安全部門完成補丁升級工作，另一方面，360也在軟硬體端推出了多項應對防護措施，力保用戶信息安全。

    在軟體上，360網站衛士在第一時間推出了OpenSSL漏洞在線檢查工具，用戶只要輸入網址就能夠檢測網站是否存在該漏洞。同時，360還開通了用戶服務熱線：4000366588。用戶在對該漏洞進行升級和維護網站過程中，可以撥打該熱線，獲得360免費全程技術支持等。

    在硬體方面，360及時升級了將於近期發售的「360安全路由器」的多項軟硬體設置，以化解「心臟出血」核心漏洞帶來的威脅，其原理為：「360安全路由器」將內置「安全網址庫」，該庫會自動進行實時更新，並且路由器還將過濾一切非法IP，在信息的首尾兩端進行雙重防護。當用戶訪問網頁時，路由器會根據「安全網址庫」判斷該網址是否安全，當確認地址存在OpenSSL風險時，它就會向用戶發出預警提示，防止用戶在不經意間洩露隱私。

    另據記者了解，除了本次「心臟出血」風險，360還將其多年的安全技術優勢與360安全路由結合，其獨創的360sOS安全路由器系統和全球領先的網絡安全技術，不僅可以防黑客暴力破解入侵，還可以從源頭攔截惡意、欺詐網站，自動過濾木馬、釣魚網站，避免隱私數據洩露。

    安全提示：暫不要在漏洞網站登錄

    截至記者發稿時，針對此次OpenSSL「心臟出血」漏洞，已經有多個大型網際網路服務商宣布修復了該漏洞。然而，仍然有很多網站並未對OpenSSL進行升級，用戶訪問這些網站時，仍然存在個人信息洩露的風險。

    對此，360安全工程師提醒廣大站長，儘快將OpenSSL升級至1.0.1g版本，以修復該漏洞。如果通過檢測發現問題，可以聯繫硬體設備提供商，通過軟體升級或降級等方式進行修復。同時建議廣大網友，暫時不要在受到漏洞影響的網站上登陸帳號，尤其是那些沒有明確採取補救措施的網站，訪問更應慎之又慎。

    ■名詞解釋：

    OpenSSL及其危害

    SSL是為網絡通信提供安全及數據完整性的一種安全協議。多數SSL加密的網站（比如購物、網銀、社交、新聞門戶、微博、微信等）都使用名為OpenSSL的開源軟體包。

    可以近似地說，OpenSSL是網際網路上銷量最大的「門鎖」。而一旦該漏洞被黑客利用，黑客就可以遠程獲取被入侵網站的用戶信息，包括登陸帳號、密碼等私密信息。■