央視呼籲各網站盡早修復漏洞 每個網友修改密碼|互聯網漏洞|網上購物

http://englishelc.hk

央視《新聞1+1》在2014年4月10日播出的《互聯網大漏洞，可能讓你“心臟出血”》節目中提到4月8日公佈瞭一個最新的信息，告訴全球的互聯網正在存在一個巨大的安全漏洞，在中國涉及到的網民有可能高達2億。主持人在節目尾聲提示觀眾：“希望我們的網站盡早修復漏洞，每一個網友還是最好修改一下密碼。”以下為文字實錄： 　　白巖松 評論員： 　　您好觀眾朋友，歡迎收看正在直播的《新聞1+1》。 　　有人說，當代人口袋裡有三樣東西是最重要的，鑰匙、錢包和手機。丟什麼是最可怕的？很多人會選擇，如果要丟瞭鑰匙就太可怕瞭，因為丟瞭鑰匙有可能你要付出的代價比丟一個錢包還要大得多得多得多。但是如果告訴您，這兩天很多人擔心，有人是通過你的手機或者說是互聯網盜取瞭你的互聯網鑰匙，讓你的錢包正存在著潛在或者實際上被別人大大方方拿走的這種不安全的時候，您會做何感想呢？ 　　4月8日公佈瞭一個最新的信息，告訴全球的互聯網正在存在一個巨大的安全漏洞，在中國涉及到的網民有可能高達2億。在這個網民數已經超過6億，網上購物的人已經超過3億的國度裡，這樣一個消息毫無疑問應該是爆炸性的，但是街頭采訪，似乎顯得平靜。 　　記者： 　　最近互聯網上有一個網絡安全漏洞，這個事你知道嗎？ 　　市民： 　　不知道，沒有聽說。 　　市民： 　　網絡安全漏洞？不太清楚。 　　市民： 　　不大清楚。 　　記者： 　　它會盜取你的個人信息，你擔心嗎？ 　　市民： 　　那還挺擔心的。 　　市民： 　　會有一點，所以現在不管亂註冊那些東西。 　　市民： 　　本來也不是有錢人，卡上也沒有太多的錢，所以我覺得即使有漏洞也不會(擔心)。 　　市民： 　　我就把該裝的都裝完瞭，他要真盜我也沒有辦法。我又不是黑客，它要真想黑我電腦那就黑唄，我能怎麼著。 　　評論員： 　　可能相當多的人還沒有意識到這樣的一個漏洞，對你存在的潛在和現實的風險究竟意味著什麼。其實這個消息一旦公佈，不僅該提醒我們每一個人去防范漏洞，小偷也都緊密地行動起來，在互聯網可能去摸著一又一把的這種鑰匙。來，我們一起關註一下這樣的現實。 　　解說： 　　4月8日，對於互聯網界似乎是不平常的一天。這一天，一個代號“心臟出血”的重大互聯網安全漏洞被國外黑客曝光。隨後，黑客們和網絡安全漏洞的檢測者們都度過瞭一個不眠之夜。 　　餘弦 北京知道創宇信息技術有限公司研究部總監： 　　4月7日這個細節公佈之後，4月8日國內就開始對這個進行瞭應急，到下午的時候，比如說有些互聯網公司，像百度、360、騰訊、阿裡他們的應急團隊就開始進行大面積的修補，但是這個修補過程實際上並不會說有那麼快。 　　解說： 　　到底是什麼發生瞭漏洞？為什麼會讓互聯網界都發生瞭震動？而網絡安全研究者們為什麼會將它形容為“心臟出血”的問題？ 　　餘弦： 　　我把它比喻成免疫系統，它跟心臟實際上都是一種非常非常的關鍵的梗架。心臟如果出問題瞭，整個連互聯網可能都會坍塌掉瞭。 　　解說： 　　事實上，這一次發生漏洞的是國際著名安全協議OpenSSL。目前世界上大概2/3的網絡服務器正在使用，包括購物、網銀、社交、郵箱等。而此次，網頁地址中，用https開始的網站受到的影響最大。 　　董方 360網站衛士 產品經理： 　　你就把它理解為一個防盜門，但是這個防盜門它本身有漏洞，它的鎖別人可能就開進去瞭，讓你傢裡的所有貴重物品等於有可能就不是你的瞭，會被別人拿走。 　　解說： 　　目前，根據國際互連網安全廠商檢測的數據顯示，中國160萬個443端口中，已經有3.3萬個受到本次漏洞的影響。 　　餘弦： 　　剛開始的時候，可能大傢沒意識到它的問題的嚴重性。然後我們早上的時候就做瞭一個測試，發現它造成的危害，確實如國外社區裡面說的那種危害就是很嚴重。 　　解說： 　　據統計，在4月7日、8日兩天時間，共計約2億網民訪問瞭存在漏洞的網站。也就是說，他們在登錄服務器中所顯示的用戶名、密碼和信用卡等信息，很有可能會被人盜取。 　　餘弦： 　　這個漏洞造成的影響，實際上確實有可能會導致你相關的虛擬財產，或者你真實存在網上的這些財產，有可能丟失，被黑客給盜取。 　　解說： 　　目前，也有業內的相關人士將這一漏洞在整個互聯網中的影響形容為前所未有。 　　董方： 　　非常非常嚴重的一個事故，就是顛覆瞭整個安全界的觀念。最安全的東西反而被攻破瞭。 　　解說： 　　面對這一次的互聯網漏洞，就在昨天，阿裡巴巴、騰訊、百度、360、京東等中國互聯網公司都表示，已經在第一時間對漏洞進行瞭修復。但是，作為網民來說，他們在網上留下的電子信息真的安全瞭嗎？ 　　評論員： 　　這件事不小，尤其在中國，有6億網民以上的國度裡頭，這件事當然不小，絕對是一種心臟出血的感覺。 　　我們來看，其實當我們進入互聯網的時候，你前面有一個鎖，你會覺得這非常安全，這就像進入到我自己傢一樣，帶鎖。但是現在這個鎖防君子不防小人，已經形同虛設，你想想後果會是什麼。它達到的結果是，比如說私鑰，所有https站點的加密內容全能破解；第二，網站用戶的密碼，用戶資產，如網銀隱私數據被盜取；第三，服務器配置，服務器可以被攻破，服務器掛掉不能提供服務。尤其前兩者進我們每一個體的關系實在是太過緊密，因為這涉及到我們日常生活中的電子商務、即時聊天、網絡支付、郵件服務、權限認證等等等等，這還瞭得？馬上要請教一位專傢，是網絡安全應急技術國傢工程實驗室的主任杜躍進，杜主任您好。 　　杜躍進 網絡安全應急技術國傢工程實驗室主任： 　　您好。 　　評論員： 　　這件事現在是否已經造成瞭我們作為互聯網用戶存在的時候，擁有瞭一種巨大的不安全感或者說是損失？ 　　杜躍進： 　　損失肯定會造成，但是它和我們過去說的傳統的計算機病毒，動不動讓我們的機器不好用瞭之類的不一樣，這損失會是很隱蔽的。因為就像剛才有人比喻的，把您的傢裡的鑰匙丟瞭，或者把你的身份證丟瞭，或者把你的銀行卡的信息全丟瞭，這並不等於說立即你會感覺到損失，但是後面一定會有損失的。 　　評論員： 　　我明白您的意思，有很多的小偷撿到瞭你的鑰匙之後，當然，小偷是故意拿走瞭你的鑰匙，他不一定當天就作案，他可能隔一段時間覺得安全瞭之後，他反正擁有你的鑰匙，能進去作案。是這樣嗎？ 　　杜躍進： 　　是這樣的，其實在黑客圈子裡面，長期有人在積累這樣的數據、販賣這樣的數據，有人會使用這樣的數據，他並不是拿來立即就用的。 　　評論員： 　　4月8日公佈瞭這個信息，一下子讓很多的網友意識到，我面臨巨大的挑戰，是否也的確是在提醒很多小偷，也該意味著我們的不安全感其實在4月8日之後成倍增長？ 　　杜躍進： 　　每一次其實都是這樣的。每一次的漏洞信息的公佈，其實既是在提醒我們的用戶，也是在提醒攻擊者，很多攻擊者和我們是一樣在用這樣的渠道獲得新的攻擊的機會，所以4月8日這個信息的公佈，肯定會吸引很多攻擊者在大規模實施攻擊，竊取用戶的數據。 　　評論員： 　　到網上去拿鑰匙。 　　杜躍進： 　　對。 　　評論員： 　　接著馬上有人會去關心誰是最不安全的？比如說是在它這個漏洞存在瞭之後，還是在活躍在網絡上進行消費等等是不安全的？還是幾乎所有的人都是不安全的？ 　　杜躍進： 　　僅僅是存在這個漏洞的期間，在網上進行瞭活動的人才會不安全。如果再這個期間之後或者在那之前並不會受到影響。 　　評論員： 　　但是問題是，您是否知道這個漏洞是什麼時候開始的。 　　杜躍進： 　　對，用戶並不太知道漏洞是什麼時候開始的，至少4月8日隻是一個大規模的時間。4月8日以後，到網站的漏洞被修復之前，用戶去使用存在漏洞的網站肯定是危險性很高的，因為黑客就在那等著，你有很高的機率會有黑客把你的信息偷走。但是4月8日之前，可能也存在個別的攻擊者也掌握這個漏洞，隻是沒有大規模的來偷而已。 　　評論員： 　　因此我們還不能掉易輕心，認為4月8日之前，沒有進行過4月8日之後的消費你就是安全的，不一定。接下來我們要去關註，出現瞭一種這麼大的安全隱患，有可能讓我們心臟出血，誰該付起責任來？我們馬上該做什麼？ 　　解說： 　　面對號稱本年度最嚴重的網絡安全漏洞，眼下我們最關心的是，到底該怎麼辦？誰可以來保護用戶的安全？ 　　記者： 　　你知道最近互聯網上有一個網絡安全漏洞這個事嗎？ 　　市民： 　　不知道。 　　市民： 　　經常用淘寶，但是沒註意這個。 　　市民： 　　網絡安全漏洞？ 　　記者： 　　對。 　　市民： 　　我知道，聽說過，手機微信裡不也有發嗎。 　　解說： 　　有數據統計，在4月7日、8日這兩天，國內共有約2億網民訪問瞭存在漏洞的網站，他們能做的有效措施並不多。 　　市民： 　　目前我們能做的就是更新殺毒軟件，別的也確實不懂，也不瞭解。 　　市民： 　　可能後面改改密碼就這樣。 　　市民： 　　直接關瞭。 　　市民： 　　我又不是黑客，它要真想黑我電腦那就黑唄，我能怎麼著。 　　解說： 　　而截止到今天，在全國3萬多個幾乎涵蓋瞭網民日常生活方方面面的存在漏洞的網站中，有70%都在漏洞曝光後，采取瞭修復漏洞的措施。但是，依然還有近30%至今沒有采取任何措施。 　　董方： 　　它比較重視網絡安全，比較大型的可能會快一些，有些網站可能本身不重視安全，或者它一時半會它也覺得這個東西對它網站沒有什麼影響，它可能不太重視，它就修復得比較慢一些。 　　解說： 　　面對此次網絡漏洞，有專業人士建議用戶更改密碼。但是，更改密碼就可以避免個人信息的泄露嗎？ 　　董方： 　　在你確認你所訪問的網站沒有漏洞的情況下，你再改密碼。如果這個網站，你明知道它還有漏洞，然後去改密碼，那還是沒有用，還是會泄密。 　　解說： 　　對於網民來說，改密碼也許是唯一的有效措施，但前提是要確認自己登錄的網站已經對此次漏洞進行瞭修復，但是，這樣的信息我們該從哪得到？通過查看這些大大小小的網站我們發現，它們自始至終都沒有網站中提及任何與漏洞相關的風險信息。 　　蔣毅 跑酷網站 站長： 　　這個沒有，因為在我們發現這個漏洞，及時把這個漏洞堵上瞭，這中間沒有產生影響，把會產生的不好後果給避免掉瞭。 　　李繼峰 “愛段子”網站站長： 　　我還真沒考慮到，因為這個問題我們自己有時候都說不清楚，更別說給網民(提示)瞭。 　　解說： 　　除瞭這些規模比較小的網站之外，事實上，一些用戶量大的網站也中瞭這次網絡漏洞的招。京東，目前中國最大的自營式電商企業，活躍用戶達到4000多萬人。盡管在發現漏洞之後，京東及時進行瞭修復，但是在京東的網站頁面上，我們同樣沒有看到與此相關的任何風險提示。 　　京東公關部負責人： 　　我們如果有這個情況的話就會第一時間進行修復的，其它的現在沒有什麼情況可以來對外發佈。因為對於京東來說，我們可能沒有出現多大的問題。 　　解說： 　　而對於用戶數量更大的淘寶網，情況也同樣如此。那麼，現在的問題是，即使修復瞭漏洞，修改瞭密碼，用戶的個人信息就安全瞭嗎？ 　　評論員： 　　這個問號問得好，其實還有很多的問號，比如說哪些網站涉及到此次的漏洞？哪些網站已經修復？是否都需要改密碼？我們何時才改密碼才是最好的？接下來當然我們還是要繼續連線嘉賓，網絡安全應急技術，國傢工程實驗室的主任杜躍進。杜主任，你看，您剛才也聽到瞭，我們很多不僅是小網站，包括很多大網站，超級大網站也都沒有特別明確的提示信息，你覺得這種做法是否是合適的？ 　　杜躍進： 　　其實，嚴格的說應該是給用戶以提示。因為這件事情，一般的傳統的安全檢測設備很難發現到底哪個用戶受到影響。本質上應該如果給用戶一個提示會更好，提示應該說什麼？說一下有這個漏洞，這個漏洞大概是什麼，用用戶能夠聽得懂的話，尤其是提醒在這段時間裡面使用過存在漏洞網站的這些網民，應該要求他們主動更改一下密碼。如果做的更進一步的話，其實是可以針對這段時間，哪些用戶使用過自己的服務這個是可以知道的，應開始定向提醒這些用戶存在風險，這會是一個更好的做法。 　　主持人： 　　剛才在短片的後半部分，也有個超級大的網站在接受采訪的時候說瞭這樣的一句話，其實我們沒覺得發現有什麼大問題，因此也不用提示，大致是這樣的意思，您覺得他的說法是否是安全的？ 　　杜躍進： 　　這個說法我覺得略微有點草率瞭。就好像我們持信用卡消費，我們走遍世界，可能走到一個地方，那個地方的信譽不太好，你在這裡面刷過一次信用卡，你有很高的可能性，你的信用卡在這次刷的過程中就被別人盜瞭。一個更加從客戶的角度來考慮的銀行，會在你回來之後，或者是說你回國之後立即就告訴你，你去那個地方其實不一定安全，不一定說你的信用卡就被偷瞭，但是那個地方不安全，他就建議你換卡，這是從用戶的角度來考慮，其實對服務方也是一個更好的做法。 　　評論員： 　　其實在這裡還有一個非常關鍵的問題，那就是每一個用戶，當他知道瞭這件事情之後，覺得自己的安全受到瞭巨大的威脅，因為畢竟是鑰匙丟瞭，因此都想馬上改密碼，但是如果不告知的情況下改密碼是不是有的時候還是無效的？比如說在它漏洞還沒有補上的時候？ 　　杜躍進： 　　對，如果是漏洞沒有補之前，改密碼是完全無效的，因為你改的密碼還是會在服務器那裡面，服務器的內存裡面，這個漏洞的意思就是，攻擊者可以從服務器裡面非法提取一部分內存的內容，因此漏洞沒有改，改瞭密碼還有可能被偷走，所以一定要在漏洞被改瞭之後再來改密碼。 　　主持人： 　　接下來這個問題，杜主任，就非常地具有實際性瞭，現在我相信，很多關註這個問題的，比如說電視機前的觀眾或者說網友的話，都想要問這樣的問題，解決這個問題，讓自己變得更加安全的合理程序應該是什麼？比如說網站該做什麼？接下來我再做什麼？我什麼時候做？ 　　杜躍進： 　　其實這件事情主要攻擊的還是針對網站，現在在技術分析上面，其實也可以攻擊用戶，但是現在大傢認為這種攻擊的意義其實比較小，主要是攻擊網站。因此，用戶自己其實可做的事情比較少，主要是這種網站應該做，而且因為它攻擊的是一個隻有非常重要的服務才會使用的協議，因此這些網站對用戶的利益都是比較關鍵的，所以網站應該非常高度重視這個，用戶隻是需要知道這個意味著什麼，應該在什麼情況下做什麼。就像剛才說到的，應在它修復完之後改一下口令。除此之外，其實用戶還應該註意到，網站隻是一方面，它還影響到一部分加密通信，影響到一部分電子郵件，所以用戶還應該清一下本機的緩存。 　　評論員： 　　杜主任，這還有一個問題，是不是當網站應該執行告知信息，你修補完瞭這個漏洞之後，提醒在沒有修補之前的時候，大傢不要進行消費或者相關的流動。但是一旦修補完這個漏洞，馬上要告訴消費者。作為每一個網友來說，當這個漏洞，網站把它彌補瞭之後，修改密碼是不是必須要做的事情？ 　　杜躍進： 　　我認為不見得是每一個用戶都必須要做的，但是應該是在這一段時間裡用過的人應該要做的。 　　主持人： 　　接下來我們要繼續關註這個問題。不僅僅是從網站或者說個體用戶的角度，我們已經快速地進入到瞭互聯網的時代，從國傢的戰略和技術的層面上來說，怎麼樣去防范這種非常新型的不安全？ 　　解說： 　　今天得知OpenSSL漏洞存在的廣大中國網友，恐怕都要共同面臨這樣一個困惑。那就是，當我們打開一傢網站的網頁，想要輸入個人信息時，如何知曉這傢網站是否存在OpenSSL漏洞？又怎麼知道它已經被修補過瞭呢？ 　　譚曉生 360互聯網安全公司副總裁： 　　就從總的這次受影響的中國的網站，可能會是在3萬左右這個數字。今天下午的這個數字已經有幾千個修瞭，但是還有一大半是目前沒有修的。 　　解說： 　　中國計算機學會、信息安全專業委員會主任嚴明在此次漏洞被發現之後，直呼其影響不亞於互聯網上的一場地震。今天，記者也對其進行采訪，詢問在網絡安全出現隱患時，國內究竟有沒有相應機構能夠及時站出來加以幹預？ 　　嚴明 中國計算機學會信息安全專業委員會主任： 　　在我們國傢有一個機構叫CNCERT(國傢互聯網應急中心)，它這個應急中心就有責任及時發佈信息，通知有關用戶來更新，同時提醒我們的廣大民眾要註意這種威脅，這是一傢機構。第二個當然就是我們的公安，因為公安有一支隊伍，網絡安全保衛的警察，他實際上致力於在日常，建立一種信息安全的保護和監管的機制。 　　解說： 　　那麼問題又來瞭，將修補情況公示的責任，究竟應該歸屬於誰？是網站運營者的自發公佈？還是相應網絡安全機構對網站加以要求呢？ 　　嚴明： 　　運營商它自己就應該發佈瞭，咱們不是有一句話叫誰運營誰負責嗎？ 　　記者： 　　但是這種東西畢竟是漏洞，這可能對網站來說，它並不是一個特別正面的信息，網站可能不願意把它公佈出去，或者是有的網站幹脆就沒改，那這種情況怎麼辦？ 　　嚴明： 　　怎麼辦呢？一個是我們查到它瞭，一個是發生瞭，它要承擔後果，來處理它瞭。你現在想，我們也隻能這樣瞭。 　　解說： 　　既然如此，為何國內的網絡安全機構不能監督存在漏洞的網站，及時進行修補，並向網友進行公示呢？在這裡，嚴主任給記者打瞭這樣一個比喻。 　　嚴明： 　　就像我們對防火有很具體的要求，消防部門有專門的防火科，就是進行防火的宣傳教育和檢查。他們會定期檢查公共場所和單位防火措施做得怎麼樣，但是我們還是發生火災，發生火災以後，還是發現有些地方，有些單位根本就不按要求做，所以打防結合，以防為主的落實，其實是一個很復雜的工程。有的時候是很困難，而且讓人很糾結的。 　　評論員： 　　互聯網快速走進我們的生活，帶來新的巨大的便利的同時，也帶來新的巨大的不安全感，因此大傢早有這樣的一種感受。比如說網絡的調查，2013年網絡安全報告，非常擔心，25%；有點擔心，45%，加起來接近70%。最擔心的是什麼？我們看，71%最擔心的網銀的賬號一旦不安全就麻煩瞭，接下來是郵箱賬號。新出現的“心臟出血”的漏洞，它的級別到什麼樣的地步，又該如何防范呢？繼續連線杜躍進主任，杜主任您好。 　　杜躍進： 　　你好。 　　評論員： 　　這次“心臟出血”的漏洞，在您的工作中您應該最敏感，它屬於常規性的不安全？還是一個非常讓你警覺的，新的極大的不安全？ 　　杜躍進： 　　我覺得它是一個需要非常重視的很重要的不安全，原因就是我剛才講過的，它所影響到的不是一般的網站和服務，它所影響的是非常重要的，需要使用加密通信的這種服務，這種服務對用戶的利益關系都是比較密切的。 　　評論員： 　　杜主任，是否從現在來說，你甚至都不好判斷這件事情接下來有可能帶來什麼樣的個人的損失？ 　　杜躍進： 　　沒錯，因為在這段時間裡面，黑客究竟偷走瞭哪些東西，現在是沒有人知道的，它這些東西在後續很長的一段時間裡面會被怎樣利用，現在是看不出來的。 　　評論員： 　　接下來就涉及到瞭一個更大的安全的問題，剛才我說瞭，互聯網快速地走進我們的生活，帶來瞭很大新的便利，但是也帶來瞭很多新的巨大的不安全，您怎麼看待這類新型的不安全？您是否有新的定義？ 　　杜躍進： 　　整個互聯網技術對我們的生活、工作其實影響非常大，對於它的安全保障其實也是在不斷地產生新的問題。我們在過去的所積累的東西，現在不斷面對新的挑戰，所以本身它就是一個動態調整的過程，並不存在某一個說我們過去某一種方法做得很有效，我們就持續一直做下去，以後我們的安全就解決瞭。因此，一句話說就是，它是一個不斷調整，不變化的過程，需要不斷地去適應它。 　　主持人： 　　我們面對它的態度或者是方法應該是什麼樣的？是有一些被動的魔高一尺，道高一丈？還是要提前做很多的防范？ 　　杜躍進： 　　其實有些東西，最重要的倒不是提前不提前，有些東西可以提前，有些東西沒有辦法提前的，但是最重要的必須是一個體系性的工作，就是並不存在所謂的一朝之敵，或者西方所說的super bullet，一下子就全解決掉瞭，這個誤解其實還是很大的，很多人覺得我的加密很好問題就解決瞭。但是這次不是加密好不好，是加密的程序裡面出現瞭一個小的，實現上的錯誤，這就是一個很好的例子。對於咱們國傢來說，或者對全世界各個國傢其實都是一樣的，安全可能本身可能涉及到你的體制機制設計，涉及到政策法律設計，涉及到技術能力，涉及到人員水平，這些全部都是有關系的。 　　主持人： 　　好，時間的原因我們今天就隻能先說到裡，但是希望今天的節目對大傢是一個重要的提醒，還是希望我們的網站盡早修復漏洞，每一個網友還是最好修改一下密碼。 Tags: 補習社, 英文補習 , 補習英文, 中文補習 , 補習中文, 英文課程, 暑期課程, 補習數學, 數學補習 , SEO, SEO, web design, 網頁設計, SEO, SEO, SEO, SEO, Whatsapp Marketing, TVC, Wechat Marketing, Wechat Promotion, web design, 網頁設計, whatsapp marketing, wechat marketing, seo, e marketing, 網頁設計提供seo, e marketing, web design by zoapcon