央视呼吁各网站尽早修复漏洞 每个网友修改密码
《新闻1+1》在2014年4月10日播出的《互联网大漏洞,可能让你“心脏出血”》节目中提到4月8日公布了一个最新的信息,告诉全球的互联网正在存在一个巨大的安全漏洞,在中国涉及到的网民有可能高达2亿。主持人在节目尾声提示观众:“希望我们的网站尽早修复漏洞,每一个网友还是最好修改一下密码。”
白岩松 评论员:
您好观众朋友,欢迎收看正在直播的《新闻1+1》。
有人说,当代人口袋里有三样东西是最重要的,钥匙、钱包和手机。丢什么是最可怕的?很多人会选择,如果要丢了钥匙就太可怕了,因为丢了钥匙有可能你要付出的代价比丢一个钱包还要大得多得多得多。但是如果告诉您,这两天很多人担心,有人是通过你的手机或者说是互联网盗取了你的互联网钥匙,让你的钱包正存在着潜在或者实际上被别人大大方方拿走的这种不安全的时候,您会做何感想呢?
4月8日公布了一个最新的信息,告诉全球的互联网正在存在一个巨大的安全漏洞,在中国涉及到的网民有可能高达2亿。在这个网民数已经超过6亿,网上购物的人已经超过3亿的国度里,这样一个消息毫无疑问应该是爆炸性的,但是街头采访,似乎显得平静。
记者:
最近互联网上有一个网络安全漏洞,这个事你知道吗?
市民:
不知道,没有听说。
市民:
网络安全漏洞?不太清楚。
市民:
不大清楚。
记者:
它会盗取你的个人信息,你担心吗?
市民:
那还挺担心的。
市民:
会有一点,所以现在不管乱注册那些东西。
市民:
本来也不是有钱人,卡上也没有太多的钱,所以我觉得即使有漏洞也不会(担心)。
市民:
我就把该装的都装完了,他要真盗我也没有办法。我又不是黑客,它要真想黑我电脑那就黑呗,我能怎么着。
评论员:
可能相当多的人还没有意识到这样的一个漏洞,对你存在的潜在和现实的风险究竟意味着什么。其实这个消息一旦公布,不仅该提醒我们每一个人去防范漏洞,小偷也都紧密地行动起来,在互联网可能去摸着一又一把的这种钥匙。来,我们一起关注一下这样的现实。
解说:
4月8日,对于互联网界似乎是不平常的一天。这一天,一个代号“心脏出血”的重大互联网安全漏洞被国外黑客曝光。随后,黑客们和网络安全漏洞的检测者们都度过了一个不眠之夜。
余弦 北京知道创宇信息技术有限公司研究部总监:
4月7日这个细节公布之后,4月8日国内就开始对这个进行了应急,到下午的时候,比如说有些互联网公司,像百度、360、腾讯、阿里他们的应急团队就开始进行大面积的修补,但是这个修补过程实际上并不会说有那么快。
解说:
到底是什么发生了漏洞?为什么会让互联网界都发生了震动?而网络安全研究者们为什么会将它形容为“心脏出血”的问题?
余弦:
我把它比喻成免疫系统,它跟心脏实际上都是一种非常非常的关键的梗架。心脏如果出问题了,整个连互联网可能都会坍塌掉了。
解说:
事实上,这一次发生漏洞的是国际著名安全协议OpenSSL。目前世界上大概2/3的网络服务器正在使用,包括购物、网银、社交、邮箱等。而此次,网页地址中,用https开始的网站受到的影响最大。
董方 360网站卫士 产品经理:
你就把它理解为一个防盗门,但是这个防盗门它本身有漏洞,它的锁别人可能就开进去了,让你家里的所有贵重物品等于有可能就不是你的了,会被别人拿走。
解说:
目前,根据国际互连网安全厂商检测的数据显示,中国160万个443端口中,已经有3.3万个受到本次漏洞的影响。
余弦:
刚开始的时候,可能大家没意识到它的问题的严重性。然后我们早上的时候就做了一个测试,发现它造成的危害,确实如国外社区里面说的那种危害就是很严重。
解说:
据统计,在4月7日、8日两天时间,共计约2亿网民访问了存在漏洞的网站。也就是说,他们在登录服务器中所显示的用户名、密码和信用卡等信息,很有可能会被人盗取。
余弦:
这个漏洞造成的影响,实际上确实有可能会导致你相关的虚拟财产,或者你真实存在网上的这些财产,有可能丢失,被黑客给盗取。
解说:
目前,也有业内的相关人士将这一漏洞在整个互联网中的影响形容为前所未有。
董方:
非常非常严重的一个事故,就是颠覆了整个安全界的观念。最安全的东西反而被攻破了。
解说:
面对这一次的互联网漏洞,就在昨天,阿里巴巴、腾讯、百度、360、京东等中国互联网公司都表示,已经在第一时间对漏洞进行了修复。但是,作为网民来说,他们在网上留下的电子信息真的安全了吗?
评论员:
这件事不小,尤其在中国,有6亿网民以上的国度里头,这件事当然不小,绝对是一种心脏出血的感觉。
我们来看,其实当我们进入互联网的时候,你前面有一个锁,你会觉得这非常安全,这就像进入到我自己家一样,带锁。但是现在这个锁防君子不防小人,已经形同虚设,你想想后果会是什么。它达到的结果是,比如说私钥,所有https站点的加密内容全能破解;第二,网站用户的密码,用户资产,如网银隐私数据被盗取;第三,服务器配置,服务器可以被攻破,服务器挂掉不能提供服务。尤其前两者进我们每一个体的关系实在是太过紧密,因为这涉及到我们日常生活中的电子商务、即时聊天、网络支付、邮件服务、权限认证等等等等,这还了得?马上要请教一位专家,是网络安全应急技术国家工程实验室的主任杜跃进,杜主任您好。
杜跃进 网络安全应急技术国家工程实验室主任:
您好。
评论员:
这件事现在是否已经造成了我们作为互联网用户存在的时候,拥有了一种巨大的不安全感或者说是损失?
杜跃进:
损失肯定会造成,但是它和我们过去说的传统的计算机病毒,动不动让我们的机器不好用了之类的不一样,这损失会是很隐蔽的。因为就像刚才有人比喻的,把您的家里的钥匙丢了,或者把你的身份证丢了,或者把你的银行卡的信息全丢了,这并不等于说立即你会感觉到损失,但是后面一定会有损失的。
评论员:
我明白您的意思,有很多的小偷捡到了你的钥匙之后,当然,小偷是故意拿走了你的钥匙,他不一定当天就作案,他可能隔一段时间觉得安全了之后,他反正拥有你的钥匙,能进去作案。是这样吗?
杜跃进:
是这样的,其实在黑客圈子里面,长期有人在积累这样的数据、贩卖这样的数据,有人会使用这样的数据,他并不是拿来立即就用的。
评论员:
4月8日公布了这个信息,一下子让很多的网友意识到,我面临巨大的挑战,是否也的确是在提醒很多小偷,也该意味着我们的不安全感其实在4月8日之后成倍增长?
杜跃进:
每一次其实都是这样的。每一次的漏洞信息的公布,其实既是在提醒我们的用户,也是在提醒攻击者,很多攻击者和我们是一样在用这样的渠道获得新的攻击的机会,所以4月8日这个信息的公布,肯定会吸引很多攻击者在大规模实施攻击,窃取用户的数据。
评论员:
到网上去拿钥匙。
杜跃进:
对。
评论员:
接着马上有人会去关心谁是最不安全的?比如说是在它这个漏洞存在了之后,还是在活跃在网络上进行消费等等是不安全的?还是几乎所有的人都是不安全的?
杜跃进:
仅仅是存在这个漏洞的期间,在网上进行了活动的人才会不安全。如果再这个期间之后或者在那之前并不会受到影响。
评论员:
但是问题是,您是否知道这个漏洞是什么时候开始的。
杜跃进:
对,用户并不太知道漏洞是什么时候开始的,至少4月8日只是一个大规模的时间。4月8日以后,到网站的漏洞被修复之前,用户去使用存在漏洞的网站肯定是危险性很高的,因为黑客就在那等着,你有很高的机率会有黑客把你的信息偷走。但是4月8日之前,可能也存在个别的攻击者也掌握这个漏洞,只是没有大规模的来偷而已。
评论员:
因此我们还不能掉易轻心,认为4月8日之前,没有进行过4月8日之后的消费你就是安全的,不一定。接下来我们要去关注,出现了一种这么大的安全隐患,有可能让我们心脏出血,谁该付起责任来?我们马上该做什么?
解说:
面对号称本年度最严重的网络安全漏洞,眼下我们最关心的是,到底该怎么办?谁可以来保护用户的安全?
记者:
你知道最近互联网上有一个网络安全漏洞这个事吗?
市民:
不知道。
市民:
经常用淘宝,但是没注意这个。
市民:
网络安全漏洞?
记者:
对。
市民:
我知道,听说过,手机微信里不也有发吗。
解说:
有数据统计,在4月7日、8日这两天,国内共有约2亿网民访问了存在漏洞的网站,他们能做的有效措施并不多。
市民:
目前我们能做的就是更新杀毒软件,别的也确实不懂,也不了解。
市民:
可能后面改改密码就这样。
市民:
直接关了。
市民:
我又不是黑客,它要真想黑我电脑那就黑呗,我能怎么着。
解说:
而截止到今天,在全国3万多个几乎涵盖了网民日常生活方方面面的存在漏洞的网站中,有70%都在漏洞曝光后,采取了修复漏洞的措施。但是,依然还有近30%至今没有采取任何措施。
董方:
它比较重视网络安全,比较大型的可能会快一些,有些网站可能本身不重视安全,或者它一时半会它也觉得这个东西对它网站没有什么影响,它可能不太重视,它就修复得比较慢一些。
解说:
面对此次网络漏洞,有专业人士建议用户更改密码。但是,更改密码就可以避免个人信息的泄露吗?
董方:
在你确认你所访问的网站没有漏洞的情况下,你再改密码。如果这个网站,你明知道它还有漏洞,然后去改密码,那还是没有用,还是会泄密。
解说:
对于网民来说,改密码也许是唯一的有效措施,但前提是要确认自己登录的网站已经对此次漏洞进行了修复,但是,这样的信息我们该从哪得到?通过查看这些大大小小的网站我们发现,它们自始至终都没有网站中提及任何与漏洞相关的风险信息。
蒋毅 跑酷网站 站长:
这个没有,因为在我们发现这个漏洞,及时把这个漏洞堵上了,这中间没有产生影响,把会产生的不好后果给避免掉了。
李继峰 “爱段子”网站站长:
我还真没考虑到,因为这个问题我们自己有时候都说不清楚,更别说给网民(提示)了。
解说:
除了这些规模比较小的网站之外,事实上,一些用户量大的网站也中了这次网络漏洞的招。京东,目前中国最大的自营式电商企业,活跃用户达到4000多万人。尽管在发现漏洞之后,京东及时进行了修复,但是在京东的网站页面上,我们同样没有看到与此相关的任何风险提示。
京东公关部负责人:
我们如果有这个情况的话就会第一时间进行修复的,其它的现在没有什么情况可以来对外发布。因为对于京东来说,我们可能没有出现多大的问题。
解说:
而对于用户数量更大的淘宝网,情况也同样如此。那么,现在的问题是,即使修复了漏洞,修改了密码,用户的个人信息就安全了吗?
评论员:
这个问号问得好,其实还有很多的问号,比如说哪些网站涉及到此次的漏洞?哪些网站已经修复?是否都需要改密码?我们何时才改密码才是最好的?接下来当然我们还是要继续连线嘉宾,网络安全应急技术,国家工程实验室的主任杜跃进。杜主任,你看,您刚才也听到了,我们很多不仅是小网站,包括很多大网站,超级大网站也都没有特别明确的提示信息,你觉得这种做法是否是合适的?
杜跃进:
其实,严格的说应该是给用户以提示。因为这件事情,一般的传统的安全检测设备很难发现到底哪个用户受到影响。本质上应该如果给用户一个提示会更好,提示应该说什么?说一下有这个漏洞,这个漏洞大概是什么,用用户能够听得懂的话,尤其是提醒在这段时间里面使用过存在漏洞网站的这些网民,应该要求他们主动更改一下密码。如果做的更进一步的话,其实是可以针对这段时间,哪些用户使用过自己的服务这个是可以知道的,应开始定向提醒这些用户存在风险,这会是一个更好的做法。
主持人:
刚才在短片的后半部分,也有个超级大的网站在接受采访的时候说了这样的一句话,其实我们没觉得发现有什么大问题,因此也不用提示,大致是这样的意思,您觉得他的说法是否是安全的?
杜跃进:
这个说法我觉得略微有点草率了。就好像我们持信用卡消费,我们走遍世界,可能走到一个地方,那个地方的信誉不太好,你在这里面刷过一次信用卡,你有很高的可能性,你的信用卡在这次刷的过程中就被别人盗了。一个更加从客户的角度来考虑的银行,会在你回来之后,或者是说你回国之后立即就告诉你,你去那个地方其实不一定安全,不一定说你的信用卡就被偷了,但是那个地方不安全,他就建议你换卡,这是从用户的角度来考虑,其实对服务方也是一个更好的做法。
评论员:
其实在这里还有一个非常关键的问题,那就是每一个用户,当他知道了这件事情之后,觉得自己的安全受到了巨大的威胁,因为毕竟是钥匙丢了,因此都想马上改密码,但是如果不告知的情况下改密码是不是有的时候还是无效的?比如说在它漏洞还没有补上的时候?
杜跃进:
对,如果是漏洞没有补之前,改密码是完全无效的,因为你改的密码还是会在服务器那里面,服务器的内存里面,这个漏洞的意思就是,攻击者可以从服务器里面非法提取一部分内存的内容,因此漏洞没有改,改了密码还有可能被偷走,所以一定要在漏洞被改了之后再来改密码。
主持人:
接下来这个问题,杜主任,就非常地具有实际性了,现在我相信,很多关注这个问题的,比如说电视机前的观众或者说网友的话,都想要问这样的问题,解决这个问题,让自己变得更加安全的合理程序应该是什么?比如说网站该做什么?接下来我再做什么?我什么时候做?
杜跃进:
其实这件事情主要攻击的还是针对网站,现在在技术分析上面,其实也可以攻击用户,但是现在大家认为这种攻击的意义其实比较小,主要是攻击网站。因此,用户自己其实可做的事情比较少,主要是这种网站应该做,而且因为它攻击的是一个只有非常重要的服务才会使用的协议,因此这些网站对用户的利益都是比较关键的,所以网站应该非常高度重视这个,用户只是需要知道这个意味着什么,应该在什么情况下做什么。就像刚才说到的,应在它修复完之后改一下口令。除此之外,其实用户还应该注意到,网站只是一方面,它还影响到一部分加密通信,影响到一部分电子邮件,所以用户还应该清一下本机的缓存。
评论员:
杜主任,这还有一个问题,是不是当网站应该执行告知信息,你修补完了这个漏洞之后,提醒在没有修补之前的时候,大家不要进行消费或者相关的流动。但是一旦修补完这个漏洞,马上要告诉消费者。作为每一个网友来说,当这个漏洞,网站把它弥补了之后,修改密码是不是必须要做的事情?
杜跃进:
我认为不见得是每一个用户都必须要做的,但是应该是在这一段时间里用过的人应该要做的。
主持人:
接下来我们要继续关注这个问题。不仅仅是从网站或者说个体用户的角度,我们已经快速地进入到了互联网的时代,从国家的战略和技术的层面上来说,怎么样去防范这种非常新型的不安全?
解说:
今天得知OpenSSL漏洞存在的广大中国网友,恐怕都要共同面临这样一个困惑。那就是,当我们打开一家网站的网页,想要输入个人信息时,如何知晓这家网站是否存在OpenSSL漏洞?又怎么知道它已经被修补过了呢?
谭晓生 360互联网安全公司副总裁:
就从总的这次受影响的中国的网站,可能会是在3万左右这个数字。今天下午的这个数字已经有几千个修了,但是还有一大半是目前没有修的。
解说:
中国计算机学会、信息安全专业委员会主任严明在此次漏洞被发现之后,直呼其影响不亚于互联网上的一场地震。今天,记者也对其进行采访,询问在网络安全出现隐患时,国内究竟有没有相应机构能够及时站出来加以干预?
严明 中国计算机学会信息安全专业委员会主任:
在我们国家有一个机构叫CNCERT(国家互联网应急中心),它这个应急中心就有责任及时发布信息,通知有关用户来更新,同时提醒我们的广大民众要注意这种威胁,这是一家机构。第二个当然就是我们的公安,因为公安有一支队伍,网络安全保卫的警察,他实际上致力于在日常,建立一种信息安全的保护和监管的机制。
解说:
那么问题又来了,将修补情况公示的责任,究竟应该归属于谁?是网站运营者的自发公布?还是相应网络安全机构对网站加以要求呢?
严明:
运营商它自己就应该发布了,咱们不是有一句话叫谁运营谁负责吗?
记者:
但是这种东西毕竟是漏洞,这可能对网站来说,它并不是一个特别正面的信息,网站可能不愿意把它公布出去,或者是有的网站干脆就没改,那这种情况怎么办?
严明:
怎么办呢?一个是我们查到它了,一个是发生了,它要承担后果,来处理它了。你现在想,我们也只能这样了。
解说:
既然如此,为何国内的网络安全机构不能监督存在漏洞的网站,及时进行修补,并向网友进行公示呢?在这里,严主任给记者打了这样一个比喻。
严明:
就像我们对防火有很具体的要求,消防部门有专门的防火科,就是进行防火的宣传教育和检查。他们会定期检查公共场所和单位防火措施做得怎么样,但是我们还是发生火灾,发生火灾以后,还是发现有些地方,有些单位根本就不按要求做,所以打防结合,以防为主的落实,其实是一个很复杂的工程。有的时候是很困难,而且让人很纠结的。
评论员:
互联网快速走进我们的生活,带来新的巨大的便利的同时,也带来新的巨大的不安全感,因此大家早有这样的一种感受。比如说网络的调查,2013年网络安全报告,非常担心,25%;有点担心,45%,加起来接近70%。最担心的是什么?我们看,71%最担心的网银的账号一旦不安全就麻烦了,接下来是邮箱账号。新出现的“心脏出血”的漏洞,它的级别到什么样的地步,又该如何防范呢?继续连线杜跃进主任,杜主任您好。
杜跃进:
你好。
评论员:
这次“心脏出血”的漏洞,在您的工作中您应该最敏感,它属于常规性的不安全?还是一个非常让你警觉的,新的极大的不安全?
杜跃进:
我觉得它是一个需要非常重视的很重要的不安全,原因就是我刚才讲过的,它所影响到的不是一般的网站和服务,它所影响的是非常重要的,需要使用加密通信的这种服务,这种服务对用户的利益关系都是比较密切的。
评论员:
杜主任,是否从现在来说,你甚至都不好判断这件事情接下来有可能带来什么样的个人的损失?
杜跃进:
没错,因为在这段时间里面,黑客究竟偷走了哪些东西,现在是没有人知道的,它这些东西在后续很长的一段时间里面会被怎样利用,现在是看不出来的。
评论员:
接下来就涉及到了一个更大的安全的问题,刚才我说了,互联网快速地走进我们的生活,带来了很大新的便利,但是也带来了很多新的巨大的不安全,您怎么看待这类新型的不安全?您是否有新的定义?
杜跃进:
整个互联网技术对我们的生活、工作其实影响非常大,对于它的安全保障其实也是在不断地产生新的问题。我们在过去的所积累的东西,现在不断面对新的挑战,所以本身它就是一个动态调整的过程,并不存在某一个说我们过去某一种方法做得很有效,我们就持续一直做下去,以后我们的安全就解决了。因此,一句话说就是,它是一个不断调整,不变化的过程,需要不断地去适应它。
主持人:
我们面对它的态度或者是方法应该是什么样的?是有一些被动的魔高一尺,道高一丈?还是要提前做很多的防范?
杜跃进:
其实有些东西,最重要的倒不是提前不提前,有些东西可以提前,有些东西没有办法提前的,但是最重要的必须是一个体系性的工作,就是并不存在所谓的一朝之敌,或者西方所说的super bullet,一下子就全解决掉了,这个误解其实还是很大的,很多人觉得我的加密很好问题就解决了。但是这次不是加密好不好,是加密的程序里面出现了一个小的,实现上的错误,这就是一个很好的例子。对于咱们国家来说,或者对全世界各个国家其实都是一样的,安全可能本身可能涉及到你的体制机制设计,涉及到政策法律设计,涉及到技术能力,涉及到人员水平,这些全部都是有关系的。
主持人:
好,时间的原因我们今天就只能先说到里,但是希望今天的节目对大家是一个重要的提醒,还是希望我们的网站尽早修复漏洞,每一个网友还是最好修改一下密码。