央視呼吁各網站盡早修復漏洞

央視呼吁各網站盡早修復漏洞

每個網友修改密碼白巖松評論員：您好觀眾朋友，歡迎收看正在直播的《新聞1+1》。有人說，當代人口袋里有三樣東西是最重要的，鑰匙、錢包和手機。丟什么是最可怕的？很多人會選擇，如果要丟了鑰匙就太可怕了，因為丟了鑰匙有可能你要付出的代價比丟一個錢包還要大得多得多得多。但是如果告訴您，這兩天很多人擔心，有人是通過你的手機或者說是互聯(lián)網盜取了你的互聯(lián)網鑰匙，讓你的錢包正存在著潛在或者實際上被別人大大方方拿走的這種不安全的時候，您會做何感想呢？4月8日公布了一個最新的信息，告訴全球的互聯(lián)網正在存在一個巨大的安全漏洞，在中國涉及到的網民有可能高達2億。在這個網民數(shù)已經超過6億，網上購物的人已經超過3億的國度里，這樣一個消息毫無疑問應該是爆炸性的，但是街頭采訪，似乎顯得平靜。記者：最近互聯(lián)網上有一個網絡安全漏洞，這個事你知道嗎？市民：不知道，沒有聽說。市民：網絡安全漏洞？不太清楚。市民：不大清楚。記者：它會盜取你的個人信息，你擔心嗎？市民：那還挺擔心的。市民：會有一點，所以現(xiàn)在不管亂注冊那些東西。市民：本來也不是有錢人，卡上也沒有太多的錢，所以我覺得即使有漏洞也不會(擔心)。市民：我就把該裝的都裝完了，他要真盜我也沒有辦法。我又不是黑客，它要真想黑我電腦那就黑唄，我能怎么著。評論員：可能相當多的人還沒有意識到這樣的一個漏洞，對你存在的潛在和現(xiàn)實的風險究竟意味著什么。其實這個消息一旦公布，不僅該提醒我們每一個人去防范漏洞，小偷也都緊密地行動起來，在互聯(lián)網可能去摸著一又一把的這種鑰匙。來，我們一起關注一下這樣的現(xiàn)實。解說：4月8日，對于互聯(lián)網界似乎是不平常的一天。這一天，一個代號“心臟出血”的重大互聯(lián)網安全漏洞被國外黑客曝光。隨后，黑客們和網絡安全漏洞的檢測者們都度過了一個不眠之夜。余弦北京知道創(chuàng)宇信息技術有限公司研究部總監(jiān)：4月7日這個細節(jié)公布之后，4月8日國內就開始對這個進行了應急，到下午的時候，比如說有些互聯(lián)網公司，像百度、360、騰訊、阿里他們的應急團隊就開始進行大面積的修補，但是這個修補過程實際上并不會說有那么快。解說：到底是什么發(fā)生了漏洞？為什么會讓互聯(lián)網界都發(fā)生了震動？而網絡安全研究者們?yōu)槭裁磿⑺稳轂椤靶呐K出血”的問題？余弦：我把它比喻成免疫系統(tǒng)，它跟心臟實際上都是一種非常非常的關鍵的梗架。心臟如果出問題了，整個連互聯(lián)網可能都會坍塌掉了。解說：事實上，這一次發(fā)生漏洞的是國際著名安全協(xié)議OpenSSL。目前世界上大概2/3的網絡服務器正在使用，包括購物、網銀、社交、郵箱等。而此次，網頁地址中，用https開始的網站受到的影響最大。面對號稱本年度最嚴重的網絡安全漏洞，眼下我們最關心的是，到底該怎么辦？誰可以來保護用戶的安全？記者：你知道最近互聯(lián)網上有一個網絡安全漏洞這個事嗎？市民：不知道。市民：經常用淘寶，但是沒注意這個。市民：網絡安全漏洞？記者：對。市民：我知道，聽說過，手機微信里不也有發(fā)嗎。解說：有數(shù)據(jù)統(tǒng)計，在4月7日、8日這兩天，國內共有約2億網民訪問了存在漏洞的網站，他們能做的有效措施并不多。市民：目前我們能做的就是更新殺毒軟件，別的也確實不懂，也不了解。市民：可能后面改改密碼就這樣。市民：直接關了。市民：我又不是黑客，它要真想黑我電腦那就黑唄，我能怎么著。解說：而截止到今天，在全國3萬多個幾乎涵蓋了網民日常生活方方面面的存在漏洞的網站中，有70%都在漏洞曝光后，采取了修復漏洞的措施。但是，依然還有近30%至今沒有采取任何措施。董方：它比較重視網絡安全，比較大型的可能會快一些，有些網站可能本身不重視安全，或者它一時半會它也覺得這個東西對它網站沒有什么影響，它可能不太重視，它就修復得比較慢一些。解說：面對此次網絡漏洞，有專業(yè)人士建議用戶更改密碼。但是，更改密碼就可以避免個人信息的泄露嗎？董方：在你確認你所訪問的網站沒有漏洞的情況下，你再改密碼。如果這個網站，你明知道它還有漏洞，然后去改密碼，那還是沒有用，還是會泄密。解說：對于網民來說，改密碼也許是唯一的有效措施，但前提是要確認自己登錄的網站已經對此次漏洞進行了修復，但是，這樣的信息我們該從哪得到？通過查看這些大大小小的網站我們發(fā)現(xiàn)，它們自始至終都沒有網站中提及任何與漏洞相關的風險信息。蔣毅跑酷網站站長：這個沒有，因為在我們發(fā)現(xiàn)這個漏洞，及時把這個漏洞堵上了，這中間沒有產生影響，把會產生的不好后果給避免掉了。李繼峰“愛段子”網站站長：我還真沒考慮到，因為這個問題我們自己有時候都說不清楚，更別說給網民(提示)了。解說：除了這些規(guī)模比較小的網站之外，事實上，一些用戶量大的網站也中了這次網絡漏洞的招。京東，目前中國最大的自營式電商企業(yè)，活躍用戶達到4000多萬人。盡管在發(fā)現(xiàn)漏洞之后，京東及時進行了修復，但是在京東的網站頁面上，我們同樣沒有看到與此相關的任何風險提示。京東公關部負責人：我們如果有這個情況的話就會第一時間進行修復的，其它的現(xiàn)在沒有什么情況可以來對外發(fā)布。因為對于京東來說，我們可能沒有出現(xiàn)多大的問題。解說：而對于用戶數(shù)量更大的淘寶網，情況也同樣如此。那么，現(xiàn)在的問題是，即使修復了漏洞，修改了密碼，用戶的個人信息就安全了嗎？評論員：這個問號問得好，其實還有很多的問號，比如說哪些網站涉及到此次的漏洞？哪些網站已經修復？是否都需要改密碼？我們何時才改密碼才是最好的？接下來當然我們還是要繼續(xù)連線嘉賓，網絡安全應急技術，國家工程實驗室的主任杜躍進。杜主任，你看，您剛才也聽到了，我們很多不僅是小網站，包括很多大網站，超級大網站也都沒有特別明確的提示信息，你覺得這種做法是否是合適的？杜躍進：其實，嚴格的說應該是給用戶以提示。因為這件事情，一般的傳統(tǒng)的安全檢測設備很難發(fā)現(xiàn)到底哪個用戶受到影響。本質上應該如果給用戶一個提示會更好，提示應該說什么？說一下有這個漏洞，這個漏洞大概是什么，用用戶能夠聽得懂的話，尤其是提醒在這段時間里面使用過存在漏洞網站的這些網民，應該要求他們主動更改一下密碼。如果做的更進一步的話，其實是可以針對這段時間，哪些用戶使用過自己的服務這個是可以知道的，應開始定向提醒這些用戶存在風險，這會是一個更好的做法。主持人：剛才在短片的后半部分，也有個超級大的網站在接受采訪的時候說了這樣的一句話，其實我們沒覺得發(fā)現(xiàn)有什么大問題，因此也不用提示，大致是這樣的意思，您覺得他的說法是否是安全的？杜躍進：這個說法我覺得略微有點草率了。就好像我們持信用卡消費，我們走遍世界，可能走到一個地方，那個地方的信譽不太好，你在這里面刷過一次信用卡，你有很高的可能性，你的信用卡在這次刷的過程中就被別人盜了。一個更加從客戶的角度來考慮的銀行，會在你回來之后，或者是說你回國之后立即就告訴你，你去那個地方其實不一定安全，不一定說你的信用卡就被偷了，但是那個地方不安全，他就建議你換卡，這是從用戶的角度來考慮，其實對服務方也是一個更好的做法。評論員：其實在這里還有一個非常關鍵的問題，那就是每一個用戶，當他知道了這件事情之后，覺得自己的安全受到了巨大的威脅，因為畢竟是鑰匙丟了，因此都想馬上改密碼，但是如果不告知的情況下改密碼是不是有的時候還是無效的？比如說在它漏洞還沒有補上的時候？杜躍進：對，如果是漏洞沒有補之前，改密碼是完全無效的，因為你改的密碼還是會在服務器那里面，服務器的內存里面，這個漏洞的意思就是，攻擊者可以從服務器里面非法提取一部分內存的內容，因此漏洞沒有改，改了密碼還有可能被偷走，所以一定要在漏洞被改了之后再來改密碼。主持人：接下來這個問題，杜主任，就非常地具有實際性了，現(xiàn)在我相信，很多關注這個問題的，比如說電視機前的觀眾或者說網友的話，都想要問這樣的問題，解決這個問題，讓自己變得更加安全的合理程序應該是什么？比如說網站該做什么？接下來我再做什么？我什么時候做？杜躍進：其實這件事情主要攻擊的還是針對網站，現(xiàn)在在技術分析上面，其實也可以攻擊用戶，但是現(xiàn)在大家認為這種攻擊的意義其實比較小，主要是攻擊網站。因此，用戶自己其實可做的事情比較少，主要是這種網站應該做，而且因為它攻擊的是一個只有非常重要的服務才會使用的協(xié)議，因此這些網站對用戶的利益都是比較關鍵的，所以網站應該非常高度重視這個，用戶只是需要知道這個意味著什么，應該在什么情況下做什么。就像剛才說到的，應在它修復完之后改一下口令。除此之外，其實用戶還應該注意到，網站只是一方面，它還影響到一部分加密通信，影響到一部分電子郵件，所以用戶還應該清一下本機的緩存。評論員：杜主任，這還有一個問題，是不是當網站應該執(zhí)行告知信息，你修補完了這個漏洞之后，提醒在沒有修補之前的時候，大家不要進行消費或者相關的流動。但是一旦修補完這個漏洞，馬上要告訴消費者。作為每一個網友來說，當這個漏洞，網站把它彌補了之后，修改密碼是不是必須要做的事情？杜躍進：我認為不見得是每一個用戶都必須要做的，但是應該是在這一段時間里用過的人應該要做的。主持人：接下來我們要繼續(xù)關注這個問題。不僅僅是從網站或者說個體用戶的角度，我們已經快速地進入到了互聯(lián)網的時代，從國家的戰(zhàn)略和技術的層面上來說，怎么樣去防范這種非常新型的不安全？解說：今天得知OpenSSL漏洞存在的廣大中國網友，恐怕都要共同面臨這樣一個困惑。那就是，當我們打開一家網站的網頁，想要輸入個人信息時，如何知曉這家網站是否存在OpenSSL漏洞？又怎么知道它已經被修補過了呢？譚曉生360互聯(lián)網安全公司副總裁：就從總的這次受影響的中國的網站，可能會是在3萬左右這個數(shù)字。今天下午的這個數(shù)字已經有幾千個修了，但是還有一大半是目前沒有修的。解說：中國計算機學會、信息安全專業(yè)委員會主任嚴明在此次漏洞被發(fā)現(xiàn)之后，直呼其影響不亞于互聯(lián)網上的一場地震。今天，記者也對其進行采訪，詢問在網絡安全出現(xiàn)隱患時，國內究竟有沒有相應機構能夠及時站出來加以干預？嚴明中國計算機學會信息安全專業(yè)委員會主任：在我們國家有一個機構叫CNCERT(國家互聯(lián)網應急中心)，它這個應急中心就有責任及時發(fā)布信息，通知有關用戶來更新，同時提醒我們的廣大民眾要注意這種威脅，這是一家機構。第二個當然就是我們的公安，因為公安有一支隊伍，網絡安全保衛(wèi)的警察，他實際上致力于在日常，建立一種信息安全的保護和監(jiān)管的機制。解說：那么問題又來了，將修補情況公示的責任，究竟應該歸屬于誰？是網站運營者的自發(fā)公布？還是相應網絡安全機構對網站加以要求呢？嚴明：運營商它自己就應該發(fā)布了，咱們不是有一句話叫誰運營誰負責嗎？記者：但是這種東西畢竟是漏洞，這可能對網站來說，它并不是一個特別正面的信息，網站可能不愿意把它公布出去，或者是有的網站干脆就沒改，那這種情況怎么辦？嚴明：怎么辦呢？一個是我們查到它了，一個是發(fā)生了，它要承擔后果，來處理它了。你現(xiàn)在想，我們也只能這樣了。解說：既然如此，為何國內的網絡安全機構不能監(jiān)督存在漏洞的網站，及時進行修補，并向網友進行公示呢？在這里，嚴主任給記者打了這樣一個比喻。嚴明：就像我們對防火有很具體的要求，消防部門有專門的防火科，就是進行防火的宣傳教育和檢查。他們會定期檢查公共場所和單位防火措施做得怎么樣，但是我們還是發(fā)生火災，發(fā)生火災以后，還是發(fā)現(xiàn)有些地方，有些單位根本就不按要求做，所以打防結合，以防為主的落實，其實是一個很復雜的工程。有的時候是很困難，而且讓人很糾結的。評論員：互聯(lián)網快速走進我們的生活，帶來新的巨大的便利的同時，也帶來新的巨大的不安全感，因此大家早有這樣的一種感受。比如說網絡的調查，2013年網絡安全報告，非常擔心，25%；有點擔心，45%，加起來接近70%。最擔心的是什么？我們看，71%最擔心的網銀的賬號一旦不安全就麻煩了，接下來是郵箱賬號。新出現(xiàn)的“心臟出血”的漏洞，它的級別到什么樣的地步，又該如何防范呢？繼續(xù)連線杜躍進主任，杜主任您好。杜躍進：你好。評論員：這次“心臟出血”的漏洞，在您的工作中您應該最敏感，它屬于常規(guī)性的不安全？還是一個非常讓你警覺的，新的極大的不安全？杜躍進：我覺得它是一個需要非常重視的很重要的不安全，原因就是我剛才講過的，它所影響到的不是一般的網站和服務，它所影響的是非常重要的，需要使用加密通信的這種服務，這種服務對用戶的利益關系都是比較密切的。評論員：杜主任，是否從現(xiàn)在來說，你甚至都不好判斷這件事情接下來有可能帶來什么樣的個人的損失？杜躍進：沒錯，因為在這段時間里面，黑客究竟偷走了哪些東西，現(xiàn)在是沒有人知道的，它這些東西在后續(xù)很長的一段時間里面會被怎樣利用，現(xiàn)在是看不出來的。評論員：接下來就涉及到了一個更大的安全的問題，剛才我說了，互聯(lián)網快速地走進我們的生活，帶來了很大新的便利，但是也帶來了很多新的巨大的不安全，您