4月11日消息,据彭博社报道,现在Heartbleed网络安全漏洞的影响范围已经波及到了家庭和企业的网络连接设备,人们需要投入更多的时间和精力才能彻底消除它的威胁。
这个漏洞最初是由一群谷歌的研究人员发现的,这引起了公司和政府机构的重视,现在它们正寻求解决办法以防止黑客利用这个漏洞来获取人们的账户、密码和其他敏感信息。今天,思科系统和瞻博网络(Juniper Networks Inc.)表示它们的一些网络产品也存在Heartbleed漏洞。
尽管网络专家呼吁用户尽快修改他们的网络密码,但是修复网络设备和软件的漏洞则是个长期的过程。网络安全机构AlienVault Labs的负责人杰姆·布拉斯科(Jaime Blasco)表示,即使思科和瞻博网络放出了修补漏洞的补丁,它们依然不得不依赖用户来对这些漏洞进行修补。
“在这些设备上修复是很痛苦的,”布拉斯科说,“你必须一个接一个搞定它们。”
两家公司在声明中表示,Heartbleed漏洞影响了它们在销售的多款路由器、交换机和防火墙产品。
谷歌研究人员表示,目前全球有三分之二的或活跃网站通过OpenSSL加密,Heartbleed正是针对这一协议的缺陷设计的漏洞。不过一些大的站点不易受此漏洞影响,因为它们配备了专用的加密设备和软件。
两家公司将尽快升级软件补丁
思科称,一旦修补漏洞的软件补丁开发完成,它会立即告知用户。“我们对安全漏洞问题非常重视,”思科在声明中表示,“我们鼓励用户访思科官网来获取更新。”
瞻博网络表示,该公司已经在本周早些时候为其技术上最薄弱的虚拟专用网络和VPN产品更新了补丁。“瞻博的一系列网络产品都受到了影响,其中包括最受客户关注的SSL VPN软件,”瞻博网络在一封电子邮件声明中写道,“我们已经在本周二为SSL VPN软件发布了补丁,并将继续夜以继日地编写其他受影响产品的补丁代码。”
金融业存在被攻击风险
美国政府机构昨天表示,银行和其他金融机构也应当采取措施,尽快为它们的计算系统打上补丁以防止针对此漏洞的攻击。
由美联储、消费者金融保护局等监管机构的成员构成的美国联邦金融机构检查委员会表示,由于OpenSSL是一种被广泛使用的加密协议,因此运行这项协议的系统存在被黑客攻击的风险。
“Heartbleed漏洞可以让攻击者访问服务器的私有密钥,继而危急服务器及用户账户的安全,”该委员会在声明中表示,“攻击者可以冒充银行服务或用户,获取登陆凭证,读取机密的电子邮件或是访问内部网络。”
发现及时,未造成大破坏
本周,美国最大银行摩根大通在一份声明中表示,该银行没有使用存在漏洞的软件,用户信息没有受到威胁。包括微软、亚马逊和美国银行在内的大型科技公司、电商网站和银行都在它们的主页进行了测试,以证明它们不易受到黑客攻击。
“这个漏洞在造成大规模破坏前就被发现了,我们对此应该感到庆幸,”市场调查机构Gartner的副总裁阿维瓦·利坦(Avivah Litan)表示,“每个人都在猜测这个漏洞会造成多大的损失,但我们目前还未看到它真的发生。”
Web安全专家、网络安全公司WhiteHat Security副总裁罗伯特·汉森(Robert Hansen)表示,除了银行之外的大型机构的网络漏洞都已经被修复。“因为每家机构都有为它们的系统打补丁,它们的业务连续性需要建立在安全的基础上,这对它们至关重要。”汉森说道。
中小企业更易受攻击
布拉斯科表示,目前AlienVault正在检测有多少人正在通过互联网瞄准这些存在漏洞的服务器,不过现在很难说有多少人成功完成了入侵。通常情况下,重大网络漏洞被披露后,都会引发一场安全专业人员与黑客的竞赛。在此期间,反应速度不够快、没有迅速进行补丁更新的的中小型公司往往成为黑客的攻击目标。
“在修补漏洞的时候,这些公司往往比大公司更容易。但是它们没有足够的资源和专业知识来处理这些问题。”布拉斯科说道。(Dream)