欢迎您访问科普小知识本站旨在为大家提供日常生活中常见的科普小知识,以及科普文章!
您现在的位置是:首页  > 自然科普

昨夜被载入史册的不是XP退役 而是核弹级互联网漏洞爆出

科普小知识2022-04-04 11:24:55
...

昨晚被载入史册的不是XP的退役,而是核级网络泄露的爆炸

"有可能在互联网上引起混乱吗?"在反复修改我的问题后,我点击了“发送”。

过了一会儿,对话框中出现了一个回复“现在已经乱了”。

之后,有一段很长的沉默。

显然,网络另一边的大白帽(指以友好方式使用自己技术的黑客)忽略了我——在这个不眠之夜,塔还有太多事情要做。

2014年4月8日将永远被记录在互联网历史上。

这一天,互联网世界发生了两件大事。首先,微软正式宣布XP停止服务并退出。第二,OpenSSL的大洞暴露了。

许多普通人更关心第一件事,因为它与他们自己直接相关。

但事实上,第二件事才是真正的大事。

受此漏洞影响的网站数量仍在评估中,但当我们看一看,我们经常访问支付宝、淘宝、微信公众号、YY之声、陌生人、雅虎邮箱、网上银行、门户网站等网站,基本上都有问题。

在国外,受影响的网站很多。甚至著名的美国航空航天局也宣布用户数据库已经被泄露。

被曝光的黑客将此次泄露命名为“心脏出血”,意思是“心脏出血”——这是最致命的内伤。

这是一个非常接近的表达。

在专业术语中,OpenSSL是一种安全协议,为网络通信提供安全性和数据完整性。它通过开源的SSL协议实现网络通信的高强度加密。

换句话说,OpenSSL是一个多用途、跨平台的安全工具。因为它非常安全,所以OpenSSL被广泛应用于各种网络应用中。

但是现在OpenSSL有它自己的漏洞,并且是一个非常高风险的漏洞。利用此漏洞,黑客可以轻松获取用户的cookie,甚至是明文帐户和密码。

这是什么样的?你背靠着墙与敌人作战。突然,墙倒塌了。

于是,一场疯狂的比赛开始了。

网站开始紧急警告和修复升级,安全公司和白帽公司忙于测试漏洞的影响并扩展它们,而更多的黑客花时间狂欢:

那些了解技术的人,深深地利用这个漏洞,并把它作为一种武器来攻击他们很长时间都无法攻击的网站。不懂技术的小黑客也像在大战场边缘游荡的勇士,利用漏洞四处劫掠。

这是一个不眠之夜——除了大量仍然无知的网民。

面对危机,网站有不同的策略。他们中的一些人紧急升级了OpenSSL。一些服务暂停;某些服务仍然可用,但SSL加密已暂停。当然,还有其他人在睡觉...

我希望他们早上起床后能保持放松的心情。

事实上,就漏洞本身而言,黑客们正在争取时间。一旦各大网站完成了对漏洞的修复,这场地震就可以被视为过去,每个人都会自然而然地恢复正常。网上购物应该在网上进行,游戏也应该在网上进行。

然而,值得注意的是,开放源码软件被广泛使用,因此它也将在各种客户端、虚拟专用网、晶片等领域带来更多的隐藏风险,并且与网站等表面应用相比,将持续一段时间。

对于整个互联网行业来说,这一事件的更大意义在于让每个人都回去反思:

当我们认为安全的一切突然变得不安全时,我们将如何维持这个虚拟世界的存在和稳定?

如果这一事件能够改变环境,给中国因缺乏关注和商业输血而长期疲弱的网络安全行业带来新的生机,那可能是塞翁失马,焉知非福。

以上是陌生人嗤之以鼻的数据的一部分。整个数据包包含详细的经度和纬度,陌生人的UID,版本,手机型号和其他细节。

同样,在另一个社交网站上,我获得了用户的登录帐户、密码,甚至安全问题和答案。这里的密码是用明文传送的,所以我通过这样的漏洞成功地登录了数百个账户。当然,我除了考试什么也没做。

用户更改密码、发送消息、登录和许多其他操作的请求都显示在数据包中,所以我不会在这里列出任何受影响的网站。事实上,这个漏洞据说早在2012年就被挖了出来。直到昨天,CVE才被列为CVE-2010160,并于8日正式爆发。大多数使用HTTPS的网站使用加密来防止诸如嗅探之类的攻击。泄漏发生后,门完全被打破了。因此,许多网站都处于被监控的状态。

这个漏洞POC已经公布了很长时间了,所以WooYun漏洞平台上的许多白帽开始测试和评级各种各样的网站。场景相当壮观:

因此,该漏洞不是由用户安全引起的。只要网站使用带有漏洞的OpenSSL版本,用户登录网站时就可能被黑客监控到实时登录账号和密码。服务提供商应尽快升级该漏洞。

好消息是,腾讯、网易和淘宝等主要制造商对安全问题反应迅速。许多有OpenSSL问题的网站已经被修复,而其他的被认为是通过白帽子的努力很快被修复。

截至8日23: 00,我对我说:许多大型网站仍在嗅探和输入数据。