美国政府周五警告称,银行和其他企业要警惕黑客试图窃取“Heartbleed”(心脏出血)漏洞泄露的数据。在一个主要就新兴网络威胁向关键基础设施运营商提供建议的网站上,美国国土安全部要求有关组织报告其受到的任何与Heartbleed相关的攻击,并称黑客企图通过这个在安全协议OpenSSL出现的漏洞扫描目标网络。
美国联邦监管机构还建议金融机构修补和测试他们的系统,以确保系统是安全的。
OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,广泛应用于网银、在线支付、电子邮件服务及各大互联网公司的网站,如Facebook、谷歌和雅虎等公司的网站,
Heartbleed漏洞于周一被曝光,该漏洞允许黑客不露踪迹地窃取数据。目前,没有任何组织承认自己成为Heartbleed漏洞的受害者,但网络安全公司表示,他们发现一些知名的黑客团体正利用该漏洞扫描网络,以寻找易受攻击的网络。
美国国家网络安全和通信集成中心(NCCIC)主任拉里·泽尔文(Larry Zelvin )在白宫网站上发表文章表示:“虽然目前还没有任何组织报告与Heartbleed漏洞相关的攻击或恶意事件,但网络空间的恶意行为者仍然可能会利用其攻击那些未打补丁的系统。”NCCIC是美国土安全部下属的一个机构。
针对华盛顿的警告,德国政府发布了一个公告,将Heartbleed漏洞的危害级别确定为“危急(critical)”。
科技公司花了一周时间,寻找其它可能出现Heartbleed漏洞的地方,包括电子邮件服务器、普通个人电脑、手机甚至网络安全产品等。
思科、IBM、英特尔、Juniper Networks 、甲骨文、红帽等公司警告称,他们的客户可能面临Heartbleed漏洞带来的风险。一些补丁已经发布,但另一些补丁仍在开发中。
卡巴斯基实验室研究员库尔特·鲍姆加特纳(Kurt Baumgartner)指出,这意味着一些网络很容易受到攻击。
他说:“直到今天,我仍发现多个拥有庞大用户群的网络仍然没有打补丁。这是一个很棘手的问题。”
OpenSSL软件利用数字证书和“密钥”实现网络通信的高强度加密,让信息能安全地在互联网和企业网络上传输。
Heartbleed漏洞存在已有多年时间,专家因此担心,黑客可能已偷走一些证书和密钥,从而使数据很容易被窃走。
美国联邦金融机构检查委员会(FFIEC)建议,银行应考虑更换这些证书和密钥。
FFIEC的成员包括美联储、美财政部等监管机构,它指出:“金融机构在操作时应该假设,存在漏洞的服务器上使用的加密密钥已无法保护敏感信息,因此在给OpenSSL软件打上补丁后,应认真考虑要求用户和管理员更改密码。”
美国SSL数字证书第二大提供商Comodo Group表示,本周客户已提出数万次更换数字证书请求。
