AD
法制晚报讯(记者 王伶玲) 本周二,WindowsXP系统正式停止服务。同一天,OpenSSL爆出本年度最严重的安全漏洞。而支付宝被盗刷导致的安全问题也被央视曝光。数据显示,WindowsXP的退役将直接导致2亿用户面临安全隐患,而OpenSSL的安全漏洞,也直接影响了1.5亿—2亿用户。
一时间,互联网安全成为了本周最热门的话题。
业内人士认为,目前互联网安全领域正在迎来艰苦的上升期。国内网络用户的安全问题仍需提高。同时,在安全数据方面的立法仍是我国欠缺的方面。
互联网安全问题频发
4月4日 支付宝被盗刷 疑因密码遭泄露
据《厦门日报》报道,北京一位支付宝客户在熟睡时,被接连的短信声吵醒。起床一看4条银行短信,4分钟之内总共3万元被刷走;身在上海的王先生突然发现手机失去信号,咨询运营商后的答案令人吃惊:他的手机被挂失重新补办号码了。此后发生的事情让他更摸不着头脑—自己的银行账户被转走了共计6万多元。
另外,央视《每周质量报告》也报道了一起由二维码支付引发的账户被盗刷的事件。
移动支付安全专家李晓东认为,目前手机支付主要的安全隐患有两个方面:第一,手机本身不安全,很多用户对手机的不安全是未知的;第二,支付流程尚不完善,现有的流程仅靠短信确认码完成银行卡绑定和金融产品的购买,这是一个比较大的漏洞。
4月8日 XP退役 2亿用户安全遇危机
和支付宝被盗刷事件一样引人关注的,还有WindowsXP系统在本周正式退役后的用户安全问题。
4月8日,WindowsXP系统正式停服。4月9日凌晨,微软将最后一次提供XP安全补丁更新。这意味着虽然XP系统可以继续使用,但一定程度上存在安全威胁以及不能进行更新。
互联网消费调研中心调查数据显示,出于经济和安全两方面的考虑,中国2亿XP用户中,仍有六成表示将坚守XP系统。
微软停止XP安全服务后,从国家到个人都将面临前所未有的挑战。中国工程院院士倪光南表示,对中国而言,XP停止服务是一个“重大的信息安全事件”。
4月8日 硬件设备中首次被发现存OpenSSL漏洞
就在WindowsXP系统正式停服的同一天,常用于电商、网银等安全性极高网站的网络安全协议OpenSLL被曝出存在安全漏洞,危及全球包括银行、电商在内关键部门和普通用户财产和信息安全。
这一漏洞一旦被恶意利用,意味着用户登录这些电商、网银的账户、密码等关键信息都将泄露。此漏洞在黑客社区中被命名为“心脏出血”漏洞。
根据业内人士介绍,通过这个漏洞,可以泄露以下四方面内容:一是私钥,所有https站点的加密内容全能破解;二是网站用户密码,用户资产如网银隐私数据被盗取;三是服务器配置和源码,服务器可以被攻破;四是服务器挂掉不能提供服务。
数据显示,截至目前该漏洞恐将造成1.5亿—2亿用户受影响。
频繁爆发安全问题已令国内不少用户和专业人士出现了危机感。
据国家互联网应急中心透露,中国网站遭受篡改攻击呈增长态势,其中政府网站是重要目标,暗链植入攻击威胁较大,黑客篡改逐利行为明显。同时,信息系统漏洞数量呈逐年递增态势,应用软件和Web应用漏洞占较大比例,被植入后门网站数量大幅上升,拒绝服务攻击已形成地下产业化。
根据今年3月份发布的《中国互联网站发展状况及其安全报告(2014年)》显示,近年来,中国网站安全问题形势严峻。受境外攻击、控制明显增多,是网络安全问题的受害者。
根据国家互联网应急中心高级工程师何世平的介绍,近年来中国网站受到的威胁主要包括网页篡改、网站后门、软件漏洞、类型攻击、网页仿冒等类型。
在篡改问题上,2013年被篡改的中国网站数量为24034个,较2012年的16388个大幅增长了46.7%;政府网站是被篡改的重要目标。2013年被篡改的政府网站数量为2430个,较2012年的1802个大幅增长了34.9%。
在网络钓鱼问题上,2013年发现仿冒中国网站的仿冒页面URL地址30199个,其中美国境内的IP地址承载了12573个针对中国网站的钓鱼页面,占比近42%。被仿冒居前列的包括媒体、银行、互联网社交等网站。
业内观点—该如何维护我们的互联网安全
移动应用问题大过桌面互联网风险
对目前国内互联网和移动互联网行业存在的安全问题,业内人士普遍认为已经颇为严重。甚至有行业内人士认为对于现在的国内互联网安全领域来说,正在迎来一段艰苦的上升期。
针对近日频繁出现的互联网安全问题,中国工程院院士兼中国互联网协会理事长邬贺铨表示,目前移动互联网安全应该比桌面互联网更受关注。
“手机那么小、内存没有那么大,不可能安装功能强大的防火墙,即便是XP防火墙也并不是不可攻破;其次,操作系统不见得把严格的管控放在所有的APP商店,这样也增加了病毒攻击风险;第三,我们很少拿PC做移动支付,可是很多人会用手机做移动支付。他跟你的银行账号、密码等等都关联起来,也就是说你在移动应用上的问题要比桌面互联网的风险大得多。”
从技术到法律完善互联网安全环境
邬贺铨认为,移动互联网安全正在引起各方面注意,当然首先是操作系统厂家,其次要实行一种好的机制来管理移动应用,像苹果IOS上面的应用,安全性就比安卓要好,因为他管得相对严格一些。
“未来单靠对应用证书的管理还是不够的。可能我们还需要把应用用虚拟机方法隔离起来。作为用户而言,本身要有一个安全的习惯,不能随便就用移动互联网简单地做支付。另外我们在法律上也是欠缺的,究竟什么样的数据可以公开,什么样的数据需要保护,包括我们在企业应用上的自律,这都还要做,当然每个人也还要提高安全的意识。”邬贺铨表示。
企业行动
支付宝:建立4000万安全基金
针对目前互联网行业集中爆发的安全问题,涉及的相关企业也在第一时间进行了表态。
4月9日,支付宝就宣布,将联合多方共建安全基金,首批投入4000万元,主要投向反钓鱼联防、反木马联防、反洗钱、反恶意攻击、用户信息保护等领域。
小微金融服务集团(筹)首席风险官胡晓明介绍,安全基金将在主管部门指导下,与包括银行在内的金融机构、同行、安全厂商开展合作,具体合作内容随后会披露。
“针对二维码支付,我们也在进行努力,进一步夯实安全体系,同时也在与央行进行紧密沟通配合。”胡晓明同时表示。
微软:联合腾讯、360等国内安全厂商服务
微软正式停止为Windows XP提供免费服务支持,意味着国内安全厂商接棒服务正式开始,包括腾讯电脑管家、360等企业同时宣布接管WindowsXP之后的更新维护和漏洞修复工作。
其中,腾讯宣布将为XP用户提供7×24小时安全服务,具体包括针对XP用户开通24小时服务热线,并针对新型病毒、恶意软件、高危漏洞等大规模的安全突发事件进行联合响应,由双方核心技术团队共同布局防御,微软授权腾讯电脑管家为用户提供基础安全服务。
360方面也已推出360安全卫士XP加固版产品,该产品内置的“补天引擎”可以继续修补XP系统漏洞,确保XP用户安全使用电脑。
360公司表示,“补天引擎”能够进一步加快360公司对XP系统漏洞补丁的制作和发布速度,为XP提供最全面、及时的漏洞修补服务。
360:部分OpenSSL协议漏洞已修复
4月8日曝出的OpenSSL的漏洞,可以说是最近两年曝出来的最严重的漏洞。
为帮助用户避免相应风险,360网站卫士推出OpenSSL漏洞在线检查工具,360安全专家石晓虹提醒互联网服务商,尽快将OpenSSL升级至1.0.1g版本进行修复。
“目前对于个人,如果你登录过需要让人登录的网站,或者网银等等,确认安全与否最好就是看看网站有没有提示修复漏洞。” 360副总裁、首席隐私官谭晓生介绍,“像淘宝、支付宝之类的,我们已经确认这些网站修复了,这些网站上去之后最好把密码改了,个人来说最彻底的就是改密码,但是不能先急着把所有的密码改了,先看这个网站有没有把所有的改好,如果它把漏洞都补了再改密码,对个人防护来说这是最有效的方法。”
文/记者 王伶玲
