漏洞[讲稿]央视呼吁各网站尽早修复漏洞

央视呼吁各网站尽早修复漏洞每个网友修改密码

白岩松评论员

您好观众朋友欢迎收看正在直播的《新闻1+1》 。

有人说当代人口袋里有三样东西是最重要的钥匙、钱包和手机。丢什么是最可怕的很多人会选择如果要丢了钥匙就太可怕了因为丢了钥匙有可能你要付出的代价比丢一个钱包还要大得多得多得多。但是如果告诉您这两天很多人担心有人是通过你的手机或者说是互联网盗取了你的互联网钥匙让你的钱包正存在着潜在或者实际上被别人大大方方拿走的这种不安全的时候您会做何感想呢

4月8日公布了一个最新的信息告诉全球的互联网正在存在一个巨大的安全漏洞在中国涉及到的网民有可能高达2亿。在这个网民数已经超过6亿网上购物的人已经超过3亿的国度里这样一个消息毫无疑问应该是爆炸性的但是街头采访似乎显得平静。

记者

最近互联网上有一个网络安全漏洞这个事你知道吗

市民

不知道没有听说。

市民

网络安全漏洞不太清楚。

市民

不大清楚。

记者

它会盗取你的个人信息你担心吗

市民

那还挺担心的。

市民

会有一点所以现在不管乱注册那些东西。

市民

本来也不是有钱人卡上也没有太多的钱所以我觉得即使有漏洞也不会(担心) 。

市民

我就把该装的都装完了他要真盗我也没有办法。我又不是黑客它要真想黑我电脑那就黑呗我能怎么着。

评论员

可能相当多的人还没有意识到这样的一个漏洞对你存在的潜在和现实的风险究竟意味着什么。其实这个消息一旦公布不仅该提醒我们每一个人去防范漏洞小偷也都紧密地行动起来在互联网可能去摸着一又一把的这种钥匙。来我们一起关注一下这样的现实。

解说

4月8日对于互联网界似乎是不平常的一天。这一天一个代号“心脏出血”的重大互联网安全漏洞被国外黑客曝光。随后黑客们和网络安全漏洞的检测者们都度过了一个不眠之夜。

余弦北京知道创宇信息技术有限公司研究部总监

4月7日这个细节公布之后 4月8日国内就开始对这个进行了应急到下午的时候 比如说有些互联网公司像百度、 360、腾讯、阿里他们的应急团队就开始进行大面积的修补但是这个修补过程实际上并不会说有那么快。

解说

到底是什么发生了漏洞为什么会让互联网界都发生了震动而网络安全研究者们为什么会将它形容为“心脏出血”的问题

余弦

我把它比喻成免疫系统它跟心脏实际上都是一种非常非常的关键的梗架。心脏如果出问题了整个连互联网可能都会坍塌掉了。

解说

事实上这一次发生漏洞的是国际著名安全协议OpenSSL。 目前世界上大概2/3的网络服务器正在使用包括购物、 网银、社交、邮箱等。而此次 网页地址中用https开始的网站受到的影响最大。

董方360网站卫士产品经理

你就把它理解为一个防盗门但是这个防盗门它本身有漏洞它的锁别人可能就开进去了让你家里的所有贵重物品等于有可能就不是你的了会被别人拿走。

解说

目前根据国际互连网安全厂商检测的数据显示中国160万个443端口中已经有3.3万个受到本次漏洞的影响。

余弦

刚开始的时候可能大家没意识到它的问题的严重性。然后我们早上的时候就做了一个测试发现它造成的危害确实如国外社区里面说的那种危害就是很严重。

解说

据统计在4月7日、 8日两天时间共计约2亿网民访问了存在漏洞的网站。也就是说他们在登录服务器中所显示的用户名、密码和信用卡等信息很有可能会被人盗取。

余弦

这个漏洞造成的影响实际上确实有可能会导致你相关的虚拟财产或者你真实存在网上的这些财产有可能丢失被黑客给盗取。

解说

目前也有业内的相关人士将这一漏洞在整个互联网中的影响形容为前所未有。

董方

非常非常严重的一个事故就是颠覆了整个安全界的观念。最安全的东西反而被攻破了。

解说

面对这一次的互联网漏洞就在昨天阿里巴巴、腾讯、百度、 360、京东等中国互联网公司都表示已经在第一时间对漏洞进行了修复。但是作为网民来说他们在网上留下的电子信息真的安全了吗

评论员

这件事不小尤其在中国有6亿网民以上的国度里头这件事当然不小绝对是一种心脏出血的感觉。

我们来看其实当我们进入互联网的时候你前面有一个锁你会觉得这非常安全这就像进入到我自己家一样带锁。但是现在这个锁防君子不防小人已经形同虚设你想想后果会是什么。它达到的结果是比如说私钥所有https站点的加密内容全能破解第二网站用户的密码用户资产如网银隐私数据被盗取第三服务器配置服务器可以被攻破服务器挂掉不能提供服务。尤其前两者进我们每一个体的关系实在是太过紧密因为这涉及到我们日常生活中的电子商务、即时聊天、网络支付、邮件服务、权限认证等等等等这还了得马上要请教一位专家是网络安全应急技术国家工程实验室的主任杜跃进杜主任您好。

杜跃进网络安全应急技术国家工程实验室主任

您好。

评论员

这件事现在是否已经造成了我们作为互联网用户存在的时候拥有了一种巨大的不安全感或者说是损失

杜跃进

损失肯定会造成但是它和我们过去说的传统的计算机病毒动不动让我们的机器不好用了之类的不一样这损失会是很隐蔽的。因为就像刚才有人比喻的把您的家里的钥匙丢了或者把你的身份证丢了或者把你的银行卡的信息全丢了这并不等于说立即你会感觉到损失但是后面一定会有损失的。

评论员

我明白您的意思有很多的小偷捡到了你的钥匙之后当然小偷是故意拿走了你的钥匙他不一定当天就作案他可能隔一段时间觉得安全了之后他反正拥有你的钥匙能进去作案。是这样吗

杜跃进

是这样的其实在黑客圈子里面长期有人在积累这样的数据、贩卖这样的数据有人会使用这样的数据他并不是拿来立即就用的。

评论员

4月8日公布了这个信息一下子让很多的网友意识到我面临巨大的挑战是否也的确是在提醒很多小偷也该意味着我们的不安全感其实在4月8日之后成倍增长

杜跃进

每一次其实都是这样的。每一次的漏洞信息的公布其实既是在提醒我们的用户也是在提醒攻击者很多攻击者和我们是一样在用这样的渠道获得新的攻击的机会所以4月8日这个信息的公布肯定会吸引很多攻击者在大规模实施攻击窃取用户的数据。

评论员

到网上去拿钥匙。

杜跃进

对。

评论员

接着马上有人会去关心谁是最不安全的比如说是在它这个漏洞存在了之后还是在活跃在网络上进行消费等等是不安全的还是几乎所有的人都是不安全的

杜跃进

仅仅是存在这个漏洞的期间在网上进行了活动的人才会不安全。如果再这个期间之后或者在那之前并不会受到影响。

评论员

但是问题是您是否知道这个漏洞是什么时候开始的。

杜跃进

对用户并不太知道漏洞是什么时候开始的至少4月8日只是一个大规模的时间。 4月8日以后到网站的漏洞被修复之前用户去使用存在漏洞的网站肯定是危险性很高的因为黑客就在那等着你有很高的机率会有黑客把你的信息偷走。但是4月8日之前可能也存在个别的攻击者也掌握这个漏洞只是没有大规模的来偷而已。

评论员

因此我们还不能掉易轻心认为4月8日之前没有进行过4月8日之后的消费你就是安全的不一定。接下来我们要去关注出现了一种这么大的安全隐患有可能让我们心脏出血谁该付起责任来我们马上该做什么

解说

面对号称本年度最严重的网络安全漏洞眼下我们最关心的是到底该怎么办谁可以来保护用户的安全

记者

你知道最近互联网上有一个网络安全漏洞这个事吗

市民

不知道。

市民

经常用淘宝但是没注意这个。

市民

网络安全漏洞

记者

对。

市民

我知道听说过手机微信里不也有发吗。

解说

有数据统计在4月7日、 8日这两天 国内共有约2亿网民访问了存在漏洞的网站他们能做的有效措施并不多。

市民

目前我们能做的就是更新杀毒软件别的也确实不懂也不了解。

市民

可能后面改改密码就这样。

市民

直接关了。

市民

我又不是黑客它要真想黑我电脑那就黑呗我能怎么着。

解说

而截止到今天在全国3万多个几乎涵盖了网民日常生活方方面面的存在漏洞的网站中有70%都在漏洞曝光后采取了修复漏洞的措施。但是依然还有近30%至今没有采取任何措施。

董方

它比较重视网络安全比较大型的可能会快一些有些网站可能本身不重视安全或者它一时半会它也觉得这个东西对它网站没有什么影响它可能不太重视它就修复得比较慢一些。

解说

面对此次网络漏洞有专业人士建议用户更改密码。但是更改密码就可以避免个人信息的泄露吗

董方

在你确认你所访问的网站没有漏洞的情况下你再改密码。如果这个网站你明知道它还有漏洞然后去改密码那还是没有用还是会泄密。

解说

对于网民来说改密码也许是唯一的有效措施但前提是要确认自己登录的网站已经对此次漏洞进行了修复但是这样的信息我们该从哪得到通过查看这些大大小小的网站我们发现它们自始至终都没有网站中提及任何与漏洞相关的风险信息。

蒋毅跑酷网站站长

这个没有因为在我们发现这个漏洞及时把这个漏洞堵上了这中间没有产生影响把会产生的不好后果给避免掉了。

李继峰 “爱段子”网站站长

我还真没考虑到因为这个问题我们自己有时候都说不清楚更别说给网民(提示)了。

解说

除了这些规模比较小的网站之外事实上一些用户量大的网站也中了这次网络漏洞的招。京东 目前中国最大的自营式电商企业活跃用户达到4000多万人。尽管在发现漏洞之后京东及时进行了修复但是在京东的网站页面上我们同样没有看到与此相关的任何风险提示。

京东公关部负责人

我们如果有这个情况的话就会第一时间进行修复的其它的现在没有什么情况可以来对外发布。因为对于京东来说我们可能没有出现多大的问题。

解说

而对于用户数量更大的淘宝网情况也同样如此。那么现在的问题是即使修复了漏洞修改了密码用户的个人信息就安全了吗

评论员

这个问号问得好其实还有很多的问号 比如说哪些网站涉及到此次的漏洞哪些网站已经修复是否都需要改密码我们何时才改密码才是最好的接下来当然我们还是要继续连线嘉宾网络安全应急技术国家工程实验室的主任杜跃进。杜主任你看您刚才也听到了我们很多不仅是小网站包括很多大网站超级大网站也都没有特别明确的提示信息你觉得这种做法是否是合适的

杜跃进

其实严格的说应该是给用户以提示。因为这件事情一般的传统的安全检测设备很难发现到底哪个用户受到影响。本质上应该如果给用户一个提示会更好提示应该说什么说一下有这个漏洞这个漏洞大概是什么用用户能够听得懂的话尤其是提醒在这段时间里面使用过存在漏洞网站的这些网民应该要求他们主动更改一下密码。如果做的更进一步的话其实是可以针对这段时间哪些用户使用过自己的服务这个是可以知道的应开始定向提醒这些用户存在风险这会是一个更好的做法。

主持人

刚才在短片的后半部分也有个超级大的网站在接受采访的时候说了这样的一句话其实我们没觉得发现有什么大问题因此也不用提示大致是这样的意思您觉得他的说法是否是安全的

杜跃进

这个说法我觉得略微有点草率了。就好像我们持信用卡消费我们走遍世界可能走到一个地方那个地方的信誉不太好你在这里面刷过一次信用卡你有很高的可能性你的信用卡在这次刷的过程中就被别人盗了。一个更加从客户的角度来考虑的银行会在你回来之后或者是说你回国之后立即就告诉你你去那个地方其实不一定安全不一定说你的信用卡就被偷了但是那个地方不安全他就建议你换卡这是从用户的角度来考虑其实对服务方也是一个更好的做法。

评论员

其实在这里还有一个非常关键的问题那就是每一个用户当他知道了这件事情之后觉得自己的安全受到了巨大的威胁因为毕竟是钥匙丢了因此都想马上改密码但是如果不告知的情况下改密码是不是有的时候还是无效的比如说在它漏洞还没有补上的时候

杜跃进

对如果是漏洞没有补之前改密码是完全无效的因为你改的密码还是会在服务器那里面服务器的内存里面这个漏洞的意思就是攻击者可以从服务器里面非法提取一部分内存的内容因此漏洞没有改改了密码还有可能被偷走所以一定要在漏洞被改了之后再来改密码。

主持人

接下来这个问题杜主任就非常地具有实际性了现在我相信很多关注这个问题的比如说电视机前的观众或者说网友的话都想要问这样的问题解决这个问题让自己变得更加安全的合理程序应该是什么比如说网站该做什么接下来我再做什么我什么时候做

杜跃进

其实这件事情主要攻击的还是针对网站现在在技术分析上面其实也可以攻击用户但是现在大家认为这种攻击的意义其实比较小主要是攻击网站。因此用户自己其实可做的事情比较少主要是这种网站应该做而且因为它攻击的是一个只有非常重要的服务才会使用的协议因此这些网站对用户的利益都是比较关键的所以网站应该非常高度重视这个用户只是需要知道这个意味着什么应该在什么情况下做什么。就像刚才说到的应在它修复完之后改一下口令。除此之外其实用户还应该注意到网站只是一方面它还影响到一部分加密通信影响到一部分电子邮件所以用户还应该清一下本机的缓存。