网络营销经济互联网上应用最广门锁爆出严重安全漏洞.pptx

1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版标题样式,单击此处编辑母版标题样式,“,4,月,8,日是黑客和白帽子们不眠之夜。”有些人这么形容。早上还在讨论,WIN XP,停顿服务，到晚上已处处,第1页,是,OpenSSL,漏洞消息。,OpenSSL,是为网络通信提供安全及数据完整性一个安全协议，在各大网,第2页,银、在线支付、电商网站、门户网站、电子邮件等广泛

2、使用。就是这个被许多企业和服务商用来加密数据安全协,第3页,议，爆出了本年度最严重安全漏洞,黑客能够利用这个漏洞从服务器内存中窃取,64KB,数据，,64KB,数据,第4页,量并不大，但黑客能够重复利用该漏洞，屡次窃取数据，并可能所以取得用户加密密钥，解密敏感数据。打个,第5页,比喻，,OpenSSL,是当前互联网上应用最广“门锁”，而这个漏洞让特定版本,OpenSSL,成了不设防,第6页,城市主要食品平均价格显示，,12,月份以来蔬菜价格显著上涨，而食用油价则连续小幅回。,第7页,保险箱。惊现安全漏洞“,(,这个消息,),我们最初是在海外论坛上看到，很快传回了国内。”金山首席安全专,第8页,

3、家李铁军说，,4,月,7,日,(,美国当地时间,),有黑客公布了旧版本,OpenSSL,安全漏洞，“因为漏洞机制描述得,第9页,非常详细，很快就在圈内传开了。”漏洞公布在一个相当危险时间点,黑客们已经纷纷出动，而一些企业,第10页,责任人却正在睡觉。发觉者们给这个漏洞起了个相当形象名字“,heartbleed”,，直译为“心脏出血,第11页,”。这一夜，互联网安全关键，开始滴血。黑客、白帽子们、运维主管、安全厂商们，闻着“血”而动：他们,第12页,有开始狂欢，逐一进入戒备森严网站，搜集泄露数据；有开始测试有多少网站受到影响以及推出检测脚本；,第13页,有在统计漏洞信息，还要准备说服客户，解释问

4、题严重性；有连夜开始紧急预警修复升级系统版本；,Woo,第14页,Yun,漏洞平台上很多白帽子开始对大范围网站进行了测试刷分，场面颇为壮观,而普通网民们却毫不知情。,第15页,“很快，甚至有黑客公布了旧版本,OpenSSL,傻瓜攻击。”李铁军解释说，这意味着非专业技术人员只,第16页,要依样画葫芦就能利用漏洞从服务器内窃取数据。“收到这个漏洞后我们最先测试了支付宝，确认存在此漏洞，,第17页,发起检测。之后我们又发觉雅虎门户主页、微信公众号、微信网页版、,YY,语言、淘宝、网银、陌陌、社交、门户,第18页,网站存在此漏洞。”网友,Evi1m0,在知乎上透露，“在一个社交网站中我获取到了用户登录

5、帐号以及密码甚,第19页,至是安全问题与答案。这里密码使用明文传输，以至于经过这么漏洞攻击，我成功地登录了上百个账户，当,第20页,然我什么都没做，出于测试而已。”国内著名网站几无幸免 当前支付宝、淘宝已修复漏洞 这个漏洞影响终究,第21页,有多大？安全教授们不约而同地推荐参考,zoomeye(,钟馗之眼,),扫描数据，这是一个网络空间搜索引擎，,第22页,业界公认权威。依据,zoomeye,系统扫描，中国全境最少有,33303,台服务器受此次,OpenSSL,漏洞,第23页,影响。网易、微信、,QQ,邮箱、陌陌、雅虎、比特币中国、支付宝、知乎、淘宝网、,360,应用、京东、,YY,语言,第2

6、4页,从消费到通讯、社交，国内著名网站几乎无一幸免。而很多用户毫不知情，依然在访问着老虎嘴中站点。,第25页,幸好，官方很快公布了漏洞修复方案：因为这是一个旧版本,OpenSSL,安全漏洞，开发者把服务器程序升,第26页,级到,OpenSSL1.0.1g,能够处理。“当前腾讯几大产品线已经都升级修复了，而且重复进行了扫描，,第27页,确保漏洞已经被修复。”腾讯相关责任人表示，在腾讯相关产品业务如邮箱、财付通、,QQ,、微信等都已经能够,第28页,放心使用。“阿里旗下网站已经都没有问题了。”阿里集团相关责任人也表示，技术部门一得到漏洞消息就连夜,第29页,进行了版本升级，修复了漏洞。当前支付宝、

7、淘宝、天猫都能够正常使用。截止记者发稿时，包含支付宝、淘宝,第30页,、微信、,QQ,平台、网易、,12306,铁路客户服务中心等在内大型网站已修复漏洞。应对未知风险 安全教授,第31页,给出两条提议 互联网门户洞开“惊魂一夜”过去了，从开始到基本结束，绝大多数网友都一无所知。我们安,第32页,全了吗？从,zoomeye,系统扫描结果看，比,33303,台服务器受漏洞影响更让人担心是：这些服务器,第33页,有在银行网银系统中；有布署在第三方支付里；有在大型电商网站；有在网络邮箱、即时通讯系统中,第34页,“尤其是现在互联网金融和第三方支付发展非常快速，这意味着以前用银行卡、,POS,机进行交易

8、都将逐步,第35页,转移到互联网上，这对网络安全提出了越来越高要求。”李铁军坦承比用户端更不可控是服务端，假如黑客入,第36页,侵了服务器，受损远不止企业一个个体，还包含存放于企业数据库大量用户敏感资料。“这个漏洞听说早在,第37页,就被挖掘出来，直到昨天CVE纳入编号CVE-0160，8号才正式暴发。”Evi1,第38页,m0,也在知乎上透露，“使用,HTTPS,网站大多是因为数据需加密预防嗅探等攻击发生，漏洞暴发后彻底将,第39页,这层大门打破，于是很多网站处于被监听状态中。”两年多时间，谁也不知道是否已经有黑客利用漏洞获取了,第40页,用户资料；而且因为该漏洞即使被入侵也不会在服务器日志

9、中留下痕迹，所以当前还没有方法确认哪些服务器被入,第41页,侵，也就没法定位损失、确认泄漏信息，从而通知用户进行补救。“最近两天不要登录未修复服务器，以免自,第42页,投罗网，即使想要修改用户名或密码也等几天再改。”几位安全教授给出提议都很一致。因为最近几天网友登录,第43页,一些关键服务网站，若网站未完成漏洞修复，登录信息就可能被黑客远程捕捉。尽管,zoomeye,扫描结果,第44页,及包括名单已经被提交给国家互联网应急中心，按照流程应由后者进行全国预警，但截止记者发稿时，在国家互联,第45页,网应急中心官网上尚无相关信息公布。实际上，除了移动、联通等这些大型企业外，国家互联网应急中心也没有

10、第46页,强制力确保其它企业看到预警内容，旧版本,OpenSSL,安全漏洞修复时间是个不确定值。对于普通用户怎,第47页,么办呢？除了在确认相关网站安全之前，不要使用网银、电子支付和电商购物等功效，以防止用户密码被漏洞后,第48页,黑客捕捉外。安全教授们给出了两条提议：一是对主要服务，尽可能开通手机验证或动态密码，比如支付宝、邮,第49页,箱等。登录主要服务，不但仅需要验证用户名密码，最好绑定手机，加手机验证码登录。这么就算黑客拿到账户密,第50页,笔趣阁,破解“小官巨腐”权力症结中新,第53页,网友原贴：一个副处级干部，一个“管自来水”，其贪欲之大、为害之烈，再次引发人们对“小官巨腐”现象,第54页,