再次收听
第一次播音( 一小时) 北京时间6:00-7:00
法广2019年7月24日第一次播音北京时间6点至7点
 
收听 下载 播客
  • 第一次播音( 一小时) 北京时间6:00-7:00
    法广2019年7月24日第一次播音北京时间6点至7点
  • 第二次播音(一小时) 北京时间 19:00-20:00
    第二次播音(一小时)2019年7月23日 北京时间19h00至20h00
  • 第二次播音(新闻)19:00 - 19:15(北京时间 )
    新闻节目 23/07 11h00 GMT
  • 第二次播音(时事与专题)19:15 - 20:00(北京时间)
    其它节目 23/07 11h15 GMT
为了更好浏览多媒体内容,您的浏览器需要安装Flash插件 若要连接,您需要启用您的浏览器上设置的cookie。 为了更好浏览,RFI网站与以下浏览器兼容: Internet Explorer 8 et +, Firefox 10 et +, Safari 3 et +, Chrome 17 et +

造成世界网络安全恐慌的漏洞:Heartbleed

作者
造成世界网络安全恐慌的漏洞:Heartbleed
 

在网络无处不在的二十一世纪,不少人每天都在使用着各种各样的网络技术提供给用户的服务,包括邮件,社交网站,银行,政府部门等,人们在私人信息输入到网络里的时候,可能已经忘记了网络可能存在的安全问题,个人资料可能落入别有用心的网络攻击者手中,从而让使用网络成为一个噩梦。

4月8号这一天,就爆出了一个震惊世界的的消息,证实一向被认为是最安全的网络上出现了一个漏洞,大家突然发现在过去的两年中,不少网络一直处于十分不安全的状态中。而这次的网络安全问题并不是由骇客高手炮制出来的,而是网络安全公司的编程员在编程的过程中产生的漏洞导致。这个互联网史上最大的色网络漏洞的发现过程也是完全出于偶然,是安全公司Codenomicon的工程师安蒂•卡加莱和谷歌安全研究人员在正常的工作时,无意中发现的。漏洞在发现之初被标识为“CVE-2014-0160“,但随后就获得了  Heartbleed(心脏流血)的称号,并拥有了一颗正在流血的心的标示图案,形象地表达了通过这个漏洞,网络内存里用户的重要信息会像血一样流出来。

Heartbleed漏洞被认为对广泛流行的开源OpenSSL软件包造成了严重威胁,其衍生的危害是独一无二,前所未有的。主要原因是这个漏洞可以诱使服务器将其内存中的数据泄露出来,从而可能让黑客掌握这一漏洞,并进一步窃取诸如信用卡和密码等之类的敏感信息。从开源OpenSSL项目中爆出的漏洞让攻击者可以在多种加密传输的网络数据中窃取用户信息,而由于OpenSSL被广泛使用在Web服务器、邮件协议、通讯协议中,所以一时间受影响的用户数量难以估计。虽然世界上各大重要的网站纷纷表示已经采取了修补措施,但目前为止还难以估计其后果。

因此Heartbleed漏洞的消息一旦爆出,在网络上引发了激烈的讨论和恐慌,各大网站也纷纷建议用户更改密码。

实际上,这一网络噩梦的产生也颇具戏剧性和偶然性,漏洞“始作俑者”被认为是OpenSSL德国程序员罗宾 ∙塞格拉曼(Robin Seggelman),他于2011年新年前夕向OpenSSL项目递交了一系列网络错误修正和新增功能,其中一项包含着未对长度变量进行验证的程序错误,不幸的是,代码审查者在审查代码时也没有注意到这个错误,错误程序随后就被包含在了新版OpenSSL中。因此,代码最终从开发者手中到了加密软件里。这名德国软件开发员否认这个安全漏洞是精心安排的,他承认OpenSSL中的这个错误是“不起眼的”,但影响却“十分严重。

美国密码学学者、資讯安全专家與与家布鲁斯∙施耐德在他的博客上对Heatbleed漏洞造成的影响做了这样的表述,他说:“本质上,一个黑客一次可以从一台服务器抓取到64Kb内存。但这种攻击不留痕迹,而且可以重复多次。这意味着内存中 的任何信息,包括SSL密码,用户密码都不安全。 而且你必须假设一切信息都被偷取了。所以这是灾难性的。如果要从1到10来评级的话,可以将此评为11级。”这个说法虽然有点危言耸听,但将Heartbleed漏洞可能导致的严重后果形象地表达了出来。

虽然64kb数据听上去并不大,但从网上放出的图片中我们可以看到其中已经足够包含用户名、用户密码以及个人信息在内的诸多敏感信息。对应到中国国内像微信公众号、微信网页版、淘宝等都网络服务受到了影响。而估计,从有漏洞的软件上市后,2012年到2014年期间,世界上2/3的网站都受到影响,包括社交网站,银行和网上购物等超过50万个网站。
作为修复手段,目前OpenSSL官方已经放出修复版本,许多网站都在第一时间修复了这个安全漏洞,包括国外普遍使用的社交网站Facebook,YouTube,Instagram。用户也可以用检查器来查看自己喜爱的网络服务是否仍然存在这个漏洞,一旦这些公司修复好漏洞,建议大家最好更换一下你的服务密码。此外,对于心存疑虑的用户,网络上也有开发者提供了在线漏洞检测工具,用户可以登录Filippo来检测自己访问的网站是否安全。

不过,虽然出问题的服务商正在逐步修复自家的服务,修复版的OpenSSL也已经放出,但问题并没有被完全被解决  由于利用Heartbleed 漏洞攻击不会留下任何信息,所以大多数服务商都无法统计到底有多少用户数据被窃取,这自然也就为接下来的防护工作带来了麻烦。对于用户来说,如果你在漏洞爆发期间登录了一些使用加密服务的站点并且输入了个人重要信息,那么为了安全起见最好还是自行修改一下账户信息。
 

  • 吴仁华:六四纪念日前抓人是中共没有自信的表现

    吴仁华:六四纪念日前抓人是中共没有自信的表现

    六四25周年到来前夕,旅居美国的中国文献学者吴仁华最近在他的推特(@wurenhua)和Facebook上推出“图说八九六四“专栏,每天公布1989年4月15日以来的八九学运和六四的照片,同时也在香港出版新书《六四事件全程实录》来还原历史真相。本次网络经纬节目专访吴仁华先生,他首先介绍了自己参加89年民主运动的过程。

  • 盛雪 北风谈网络纪念“六四”的活动

    盛雪 北风谈网络纪念“六四”的活动

    “六四”25周年即将到来,如何利用英特网来扩大纪念活动的影响,让更多的中国国内和国外关注“六四”的人能参与进来也成为几年来受到关注的方式,在互联网上,已经见到的与“六四”纪念有关的活动包括“六月四号,重回天安门”,“六四穿黑衫”等,中国海外民运协调会将于5月31号开展《全民倒共!天下围城!》网络活动,此次活动的发起者之一,民主中国阵线主席盛雪接受法广专访。

  • 网络大学是不是传统大学的未来?

    网络大学是不是传统大学的未来?

    世界上不少国家的顶尖高等学府都是学子们梦寐以求的受高等教育的地方,但现实是只有极少数的人才能有机会到这些学府聆听教授们的课程。如何解决这个问题,让人们在不出家门的情况下也能受到著名高校的教育,当今网络时代的高科技发展已经找到了可以被迎刃而解的问题。Coursera可能是这个领域的先锋网站,目前已经凝聚了世界上上百所名校将其课程视频在网上免费公开播放,让上百万学生受益。但这个看似理想化的教学方式目前也并没有得到所有人的认可,而且存在不少尚待解决的问题。

  • 发动网民力量寻找失联飞机

    发动网民力量寻找失联飞机

    马航Mh370航班失联事件发生十几天来以来,尽管20多个国家出动舰艇,直升机等设备以及专业人员协助调查,却依然没有找到任何线索,至今仍是一个不解之谜。生活在现代社会的人可能都有一种感觉,现代通讯如此发达,各种功能的卫星系统在24小时不断地对地球上的任何地方都能监视和追踪,我们的行踪随时都能被手提电话,信用卡,互联网暴露,而一架巨大的波音777客机不仅躲过了好几个国家的雷达监视系统,在偏离原定航道的情况下飞行几个小时后消失的无影无踪,不论是天上的卫星监视系统,还是地上的雷达功能和用途都在这一飞机失联事件中显得如此苍白和无力。

  • 俄罗斯封网 中国封微信

    俄罗斯封网 中国封微信

    当一个国家的政府对网络上出现的批评声音感到反感时怎么办?是将网络当成测试民意的窗口,从不同的政见中得到启发,改进自己的政策,还是干脆选择武断的措施,将这些网站关闭,让反对派的声音不能传出来,从而达到维护国家“稳定”的目的。普京领导的俄罗斯政府选择了后者。与此同时,在中国也传出深受中国网友欢迎的微信也遭到腾讯公司关闭的消息,腾讯的做法引发网友和舆论的一片哗然。

  • 看两会代表的议案和提案

    看两会代表的议案和提案

    中国第十二届全国人民代表大会第二次会议和政协第十二届全国委员会第二次会议,分别于3月5日和3月3日在北京开幕,因为人大与政协每年初春几乎同时在北京召开,所以人们也习惯将其和成为两会,两会同中国共产党全国代表大会一样,是中华人民共和国政治的重点,为大量中外媒体所关注和报道的焦点。

  1. 1
  2. 2
  3. 3
  4. ...
  5. 下一个 >
  6. 最后 >
专题节目
 
抱歉,链接期限已过