陶短房:“心臟出血”的經(jīng)濟(jì)影響正在發(fā)酵

            / by 南方都市報(bào) 瀏覽次數(shù):

              全球近期被一個(gè)新鮮的詞組——“心臟出血”(Heartbleed)折騰得心驚肉跳、寢食難安,因?yàn)檫@個(gè)名詞,幾乎顛覆了互聯(lián)網(wǎng)世界一切既定秩序。然而,與以往不同,“心臟出血”既不是什么兇猛的病毒,也不是什么叵測(cè)的密碼,而只是一個(gè)程序上的漏洞,且這個(gè)漏洞很可能并非出于蓄意破壞,而只是一次陰差陽錯(cuò)的疏忽所致。

              2010年底,開源加密庫OpenSSL程序員、德國人羅賓·賽格爾曼提交了一份例行程序代碼升級(jí)方案,由于時(shí)值新年假期前夕,賽格爾曼本人和審查者斯蒂芬·亨森鬼使神差地均未發(fā)現(xiàn)其中包含一個(gè)致命的程序漏洞,這個(gè)漏洞一旦更新成為O penSSL代碼的一部分,就可能賦予這一加密庫一個(gè)危險(xiǎn)破綻,有經(jīng)驗(yàn)的黑客可借此讀取網(wǎng)絡(luò)服務(wù)器內(nèi)存,從而訪問并竊取最敏感、最核心的用戶數(shù)據(jù)。由于OpenSSL本身的用途,正是為網(wǎng)站數(shù)據(jù)加密并提供隱私保護(hù),通俗地說,就是網(wǎng)絡(luò)安全的“密碼鎖”,“心臟出血”恰恰讓這把“密碼鎖”的密碼鑰匙被公然掛在客廳里,后果可想而知。

              4月3日,谷歌工程師尼爾·梅塔首先發(fā)現(xiàn)了“心臟出血”漏洞,隨后計(jì)算機(jī)安全公司Codenomicon也發(fā)現(xiàn)了問題,并進(jìn)一步證實(shí)了問題的嚴(yán)重性。4月7日,雅虎、GitHub、LastPass等網(wǎng)站相繼發(fā)布公告,承認(rèn)受到“心臟出血”漏洞影響,建議用戶更改密碼。

              直至此時(shí),大部分主流網(wǎng)站和幾乎所有主要電子運(yùn)營商都對(duì)此事保持緘默,甚至有人樂觀預(yù)期,“心臟出血”不過是“讓大家麻煩些更換密碼”的癬疥之患。

              然而更驚人的消息很快傳出:幾天后,擁有150萬注冊(cè)用戶的英國育嬰網(wǎng)站Mumsnet公開承認(rèn),自己的數(shù)據(jù)庫被黑客借助“心臟出血”漏洞成功入侵,部分用戶密碼和個(gè)人信息被盜。據(jù)稱,該網(wǎng)站創(chuàng)始人朱斯汀·羅伯茨在自己網(wǎng)站上注冊(cè)的個(gè)人ID和密碼被人竊取并在網(wǎng)站發(fā)布信息,隨后黑客主動(dòng)通知網(wǎng)站管理員,表示自己是通過“心臟出血”漏洞成功入侵,警告“數(shù)據(jù)庫不安全”。4月11日,著名黑客費(fèi)多爾·安度特尼也通過“親身實(shí)踐”證明,通過“心臟出血”漏洞,熟練黑客可創(chuàng)建一個(gè)和合法網(wǎng)站一模一樣的假網(wǎng)站,并偽造電子證書,誘使用戶在注冊(cè)、登錄或進(jìn)行在線交易時(shí)泄露有價(jià)值的個(gè)人信息。

              上述消息意味著,此前一些人“只要換一下用戶密碼就萬事大吉”的樂觀預(yù)期與事實(shí)不符“心臟出血”可遠(yuǎn)不是個(gè)密碼保護(hù)問題。

              幾乎與此同時(shí),加拿大聯(lián)邦稅務(wù)局(CRA)宣布,同樣因“心臟出血”漏洞,黑客闖入CRA官網(wǎng)數(shù)據(jù)庫,竊取了多達(dá)900人的社會(huì)保險(xiǎn)卡(SIN )資料。如果說此前的Mumsnet事件,黑客還帶有試驗(yàn)、預(yù)警的“正面”目的,那么加拿大聯(lián)邦稅務(wù)局的失密事件,可謂“心臟出血”漏洞公開披露后第一次證據(jù)確鑿、惡意明顯的人為攻擊。

              從經(jīng)濟(jì)上講,“心臟出血”已開始構(gòu)成經(jīng)濟(jì)上的直接損失和間接影響。因?yàn)?00人的SIN卡信息被盜,加拿大局CRA官方網(wǎng)站一度被迫關(guān)閉,原定4月12日的恢復(fù)時(shí)間被拖延到15日,且開放當(dāng)天因信息涌入過多而造成網(wǎng)絡(luò)訪問不暢。CRA網(wǎng)站長時(shí)間關(guān)閉,影響了眾多人網(wǎng)上報(bào)稅,因?yàn)槊磕?月30日是加拿大報(bào)稅最終期限,按規(guī)定倘4月30日前不能完成報(bào)稅,會(huì)遭到罰款和收取利息。為此,CRA最終不得不宣布,今年如果逾期,將不會(huì)被追究責(zé)任。此外,CR A網(wǎng)絡(luò)系統(tǒng)的關(guān)閉會(huì)影響某些中小企業(yè)的財(cái)務(wù),甚至一來很多單位將無法按時(shí)發(fā)放員工工資。

              一些財(cái)務(wù)專家指出,由于漏洞系與OpenSSL加密庫“捆綁”,CRA不得不斥巨資緊急更換了整個(gè)加密系統(tǒng),不僅如此,當(dāng)4月11日“安度特尼實(shí)驗(yàn)”的信息被披露后,CRA為防萬一,不得不宣布將更多采用普通掛號(hào)信、而非電子郵件方式和用戶聯(lián)系,這意味著需要雇傭更多臨時(shí)性人手,以及隨之而來的成本增加。

              然而“心臟出血”所造成的經(jīng)濟(jì)影響,恐遠(yuǎn)不止于此。

              “心臟出血”給人們最大的震撼,在于迄今讓互聯(lián)網(wǎng)保持通暢,讓人們相信網(wǎng)上交聯(lián)這種“看不見的交流”可以建立,甚至可以發(fā)生商業(yè)交易的前提——如今都被證明不可靠,或至少“不知道是否可靠”。此次“心臟出血”漏洞曝光之初,人們還慶幸除了雅虎,很少有大公司、知名網(wǎng)站卷入其中,但“安度特尼實(shí)驗(yàn)”和加拿大CRA網(wǎng)站的失密和一度癱瘓,讓人們匆匆筑起的心理臨時(shí)防線瞬間崩潰。

              不管漏洞產(chǎn)生的真相是否出于故意,但誰都無法確信,其它類似情況和場(chǎng)合是否會(huì)重演;同樣誰都無法確信,下一次人們碰上的僅僅是又一次“心臟出血”,而非心肌梗塞。

              “心臟出血”漏洞剛剛報(bào)告之際,GitHub匆匆發(fā)布了一份“安民告示”,列舉了據(jù)稱截至4月8日,對(duì)訪問量排名TOP1000網(wǎng)站的“全面權(quán)威性調(diào)查”,得出的結(jié)論是,雅虎、Imgur等若干網(wǎng)站“存在較大隱患和風(fēng)險(xiǎn)”,而谷歌、臉書、維基百科、推特和亞馬遜在線等主要網(wǎng)站“安全沒有問題”。但只幾天功夫,“白名單”上的亞馬遜在線就公開承認(rèn)“可能受到漏洞影響”,維基百科雖未直接提及“心臟出血”,卻建議用戶更改密碼,更讓人啼笑皆非的是,GitHub自己隨后也發(fā)布了和亞馬遜在線幾乎如出一轍的聲明。這種做法本身,恐只會(huì)令本已被“心臟出血”嚴(yán)重影響了其對(duì)網(wǎng)絡(luò)安全、對(duì)在線服務(wù)、對(duì)運(yùn)營商信心的用戶們,產(chǎn)生更多不信任感。

              《華盛頓郵報(bào)》援引專家最新預(yù)計(jì),認(rèn)為“心臟出血”的直接、間接影響,將覆蓋全球互聯(lián)網(wǎng)用戶的2/3,并促使成千上萬用戶改變其對(duì)谷歌、雅虎、臉書等的密碼和使用方式。目前最有效的補(bǔ)救方式,是讓每一家可能受到影響的網(wǎng)站更換安全證書,這勢(shì)必牽扯到一筆龐大的開支。經(jīng)此一役,無論是用戶或者個(gè)人恐怕都會(huì)削弱對(duì)在線業(yè)務(wù)、電子營商的信心和興趣。

              或許,如某些專家所言,近年來流行的“通過增加密碼鎖增加安全感”的網(wǎng)站安全維護(hù)思路,需要有所調(diào)整了——事實(shí)證明,這樣做不僅耗費(fèi)巨大,而且,一旦出問題的是密碼鎖本身,后果甚至比“開門揖盜”更不堪設(shè)想。

            美家網(wǎng)的微信公眾號(hào)二維碼
            推薦本文:
            今日熱點(diǎn)
            更多>>
            精彩專題 / Wonderful topic
            更多>>
            中國(佛山)陶瓷工業(yè)年會(huì)暨陶瓷行業(yè)榮耀榜
            第八屆中國(佛山)陶瓷工業(yè)發(fā)展年會(huì)視頻
            廣東陶瓷工業(yè)執(zhí)照大獎(jiǎng)
            • 第七屆中國(佛山)陶瓷發(fā)展年會(huì)暨陶瓷總評(píng)榜投票專題

              第七屆中國(佛山)陶瓷發(fā)展年會(huì)暨陶瓷總評(píng)榜投票專題

            • 專題:第六屆中國(佛山)陶瓷發(fā)展年會(huì)暨陶瓷十強(qiáng)企業(yè)授牌儀式

              專題:第六屆中國(佛山)陶瓷發(fā)展年會(huì)暨陶瓷十強(qiáng)企業(yè)授牌儀式

            • 專題:2017第二屆佛山陶瓷十強(qiáng)企業(yè)特別專題

              專題:2017第二屆佛山陶瓷十強(qiáng)企業(yè)特別專題

            • 專題:中國陶瓷趨勢(shì)論壇暨中國陶瓷十強(qiáng)企業(yè)總評(píng)榜

              專題:中國陶瓷趨勢(shì)論壇暨中國陶瓷十強(qiáng)企業(yè)總評(píng)榜

            行業(yè)焦點(diǎn) / Industry focus
            更多>>
            99无码人妻一区二区三区免费| 最近高清中文在线国语字幕5| 最近2019中文免费字幕在线观看| 炫硕日本一区二区三区综合区在线中文字幕| 亚洲日产无码中文字幕| 精品久久久久久无码中文字幕| 精品人妻va出轨中文字幕| 无码少妇一区二区三区浪潮AV| 亚洲中文字幕AV在天堂| 国产综合无码一区二区辣椒| 97久久精品无码一区二区天美| 久久ZYZ资源站无码中文动漫| 国产成人无码一区二区三区| 欧美亚洲精品中文字幕乱码免费高清 | 精品久久久久久久中文字幕| 精品无码国产自产拍在线观看| 狠狠综合久久综合中文88| 国产成人无码免费网站| 国产台湾无码AV片在线观看| 国产 欧美 亚洲 中文字幕| 成人无码a级毛片免费| 中文字幕精品无码一区二区三区| 亚洲大尺度无码无码专区| 国产资源网中文最新版| 无码AⅤ精品一区二区三区| 亚洲AV无码不卡在线播放| 最近中文字幕高清字幕在线视频| 18无码粉嫩小泬无套在线观看| 久久久久亚洲AV无码专区首JN| 中中文字幕亚洲无线码| 韩国免费a级作爱片无码| 亚洲精品无码mv在线观看网站| 中文字幕一区二区精品区| 婷婷五月六月激情综合色中文字幕| 精品无码一区二区三区爱欲 | 日本妇人成熟免费中文字幕| 久久国产精品无码HDAV| 午夜不卡久久精品无码免费| 最近中文字幕大全2019| 日韩欧美一区二区不卡中文| 中文 在线 日韩 亚洲 欧美|