央視呼吁各網(wǎng)站盡早修復(fù)漏洞

央視呼吁各網(wǎng)站盡早修復(fù)漏洞

每個(gè)網(wǎng)友修改密碼白巖松評(píng)論員：您好觀眾朋友，歡迎收看正在直播的《新聞1+1》。有人說(shuō)，當(dāng)代人口袋里有三樣?xùn)|西是最重要的，鑰匙、錢包和手機(jī)。丟什么是最可怕的？很多人會(huì)選擇，如果要丟了鑰匙就太可怕了，因?yàn)閬G了鑰匙有可能你要付出的代價(jià)比丟一個(gè)錢包還要大得多得多得多。但是如果告訴您，這兩天很多人擔(dān)心，有人是通過(guò)你的手機(jī)或者說(shuō)是互聯(lián)網(wǎng)盜取了你的互聯(lián)網(wǎng)鑰匙，讓你的錢包正存在著潛在或者實(shí)際上被別人大大方方拿走的這種不安全的時(shí)候，您會(huì)做何感想呢？4月8日公布了一個(gè)最新的信息，告訴全球的互聯(lián)網(wǎng)正在存在一個(gè)巨大的安全漏洞，在中國(guó)涉及到的網(wǎng)民有可能高達(dá)2億。在這個(gè)網(wǎng)民數(shù)已經(jīng)超過(guò)6億，網(wǎng)上購(gòu)物的人已經(jīng)超過(guò)3億的國(guó)度里，這樣一個(gè)消息毫無(wú)疑問(wèn)應(yīng)該是爆炸性的，但是街頭采訪，似乎顯得平靜。記者：最近互聯(lián)網(wǎng)上有一個(gè)網(wǎng)絡(luò)安全漏洞，這個(gè)事你知道嗎？市民：不知道，沒(méi)有聽(tīng)說(shuō)。市民：網(wǎng)絡(luò)安全漏洞？不太清楚。市民：不大清楚。記者：它會(huì)盜取你的個(gè)人信息，你擔(dān)心嗎？市民：那還挺擔(dān)心的。市民：會(huì)有一點(diǎn)，所以現(xiàn)在不管亂注冊(cè)那些東西。市民：本來(lái)也不是有錢人，卡上也沒(méi)有太多的錢，所以我覺(jué)得即使有漏洞也不會(huì)(擔(dān)心)。市民：我就把該裝的都裝完了，他要真盜我也沒(méi)有辦法。我又不是黑客，它要真想黑我電腦那就黑唄，我能怎么著。評(píng)論員：可能相當(dāng)多的人還沒(méi)有意識(shí)到這樣的一個(gè)漏洞，對(duì)你存在的潛在和現(xiàn)實(shí)的風(fēng)險(xiǎn)究竟意味著什么。其實(shí)這個(gè)消息一旦公布，不僅該提醒我們每一個(gè)人去防范漏洞，小偷也都緊密地行動(dòng)起來(lái)，在互聯(lián)網(wǎng)可能去摸著一又一把的這種鑰匙。來(lái)，我們一起關(guān)注一下這樣的現(xiàn)實(shí)。解說(shuō)：4月8日，對(duì)于互聯(lián)網(wǎng)界似乎是不平常的一天。這一天，一個(gè)代號(hào)“心臟出血”的重大互聯(lián)網(wǎng)安全漏洞被國(guó)外黑客曝光。隨后，黑客們和網(wǎng)絡(luò)安全漏洞的檢測(cè)者們都度過(guò)了一個(gè)不眠之夜。余弦北京知道創(chuàng)宇信息技術(shù)有限公司研究部總監(jiān)：4月7日這個(gè)細(xì)節(jié)公布之后，4月8日國(guó)內(nèi)就開(kāi)始對(duì)這個(gè)進(jìn)行了應(yīng)急，到下午的時(shí)候，比如說(shuō)有些互聯(lián)網(wǎng)公司，像百度、360、騰訊、阿里他們的應(yīng)急團(tuán)隊(duì)就開(kāi)始進(jìn)行大面積的修補(bǔ)，但是這個(gè)修補(bǔ)過(guò)程實(shí)際上并不會(huì)說(shuō)有那么快。解說(shuō)：到底是什么發(fā)生了漏洞？為什么會(huì)讓互聯(lián)網(wǎng)界都發(fā)生了震動(dòng)？而網(wǎng)絡(luò)安全研究者們?yōu)槭裁磿?huì)將它形容為“心臟出血”的問(wèn)題？余弦：我把它比喻成免疫系統(tǒng)，它跟心臟實(shí)際上都是一種非常非常的關(guān)鍵的梗架。心臟如果出問(wèn)題了，整個(gè)連互聯(lián)網(wǎng)可能都會(huì)坍塌掉了。解說(shuō)：事實(shí)上，這一次發(fā)生漏洞的是國(guó)際著名安全協(xié)議OpenSSL。目前世界上大概2/3的網(wǎng)絡(luò)服務(wù)器正在使用，包括購(gòu)物、網(wǎng)銀、社交、郵箱等。而此次，網(wǎng)頁(yè)地址中，用https開(kāi)始的網(wǎng)站受到的影響最大。面對(duì)號(hào)稱本年度最嚴(yán)重的網(wǎng)絡(luò)安全漏洞，眼下我們最關(guān)心的是，到底該怎么辦？誰(shuí)可以來(lái)保護(hù)用戶的安全？記者：你知道最近互聯(lián)網(wǎng)上有一個(gè)網(wǎng)絡(luò)安全漏洞這個(gè)事嗎？市民：不知道。市民：經(jīng)常用淘寶，但是沒(méi)注意這個(gè)。市民：網(wǎng)絡(luò)安全漏洞？記者：對(duì)。市民：我知道，聽(tīng)說(shuō)過(guò)，手機(jī)微信里不也有發(fā)嗎。解說(shuō)：有數(shù)據(jù)統(tǒng)計(jì)，在4月7日、8日這兩天，國(guó)內(nèi)共有約2億網(wǎng)民訪問(wèn)了存在漏洞的網(wǎng)站，他們能做的有效措施并不多。市民：目前我們能做的就是更新殺毒軟件，別的也確實(shí)不懂，也不了解。市民：可能后面改改密碼就這樣。市民：直接關(guān)了。市民：我又不是黑客，它要真想黑我電腦那就黑唄，我能怎么著。解說(shuō)：而截止到今天，在全國(guó)3萬(wàn)多個(gè)幾乎涵蓋了網(wǎng)民日常生活方方面面的存在漏洞的網(wǎng)站中，有70%都在漏洞曝光后，采取了修復(fù)漏洞的措施。但是，依然還有近30%至今沒(méi)有采取任何措施。董方：它比較重視網(wǎng)絡(luò)安全，比較大型的可能會(huì)快一些，有些網(wǎng)站可能本身不重視安全，或者它一時(shí)半會(huì)它也覺(jué)得這個(gè)東西對(duì)它網(wǎng)站沒(méi)有什么影響，它可能不太重視，它就修復(fù)得比較慢一些。解說(shuō)：面對(duì)此次網(wǎng)絡(luò)漏洞，有專業(yè)人士建議用戶更改密碼。但是，更改密碼就可以避免個(gè)人信息的泄露嗎？董方：在你確認(rèn)你所訪問(wèn)的網(wǎng)站沒(méi)有漏洞的情況下，你再改密碼。如果這個(gè)網(wǎng)站，你明知道它還有漏洞，然后去改密碼，那還是沒(méi)有用，還是會(huì)泄密。解說(shuō)：對(duì)于網(wǎng)民來(lái)說(shuō)，改密碼也許是唯一的有效措施，但前提是要確認(rèn)自己登錄的網(wǎng)站已經(jīng)對(duì)此次漏洞進(jìn)行了修復(fù)，但是，這樣的信息我們?cè)搹哪牡玫剑客ㄟ^(guò)查看這些大大小小的網(wǎng)站我們發(fā)現(xiàn)，它們自始至終都沒(méi)有網(wǎng)站中提及任何與漏洞相關(guān)的風(fēng)險(xiǎn)信息。蔣毅跑酷網(wǎng)站站長(zhǎng)：這個(gè)沒(méi)有，因?yàn)樵谖覀儼l(fā)現(xiàn)這個(gè)漏洞，及時(shí)把這個(gè)漏洞堵上了，這中間沒(méi)有產(chǎn)生影響，把會(huì)產(chǎn)生的不好后果給避免掉了。李繼峰“愛(ài)段子”網(wǎng)站站長(zhǎng)：我還真沒(méi)考慮到，因?yàn)檫@個(gè)問(wèn)題我們自己有時(shí)候都說(shuō)不清楚，更別說(shuō)給網(wǎng)民(提示)了。解說(shuō)：除了這些規(guī)模比較小的網(wǎng)站之外，事實(shí)上，一些用戶量大的網(wǎng)站也中了這次網(wǎng)絡(luò)漏洞的招。京東，目前中國(guó)最大的自營(yíng)式電商企業(yè)，活躍用戶達(dá)到4000多萬(wàn)人。盡管在發(fā)現(xiàn)漏洞之后，京東及時(shí)進(jìn)行了修復(fù)，但是在京東的網(wǎng)站頁(yè)面上，我們同樣沒(méi)有看到與此相關(guān)的任何風(fēng)險(xiǎn)提示。京東公關(guān)部負(fù)責(zé)人：我們?nèi)绻羞@個(gè)情況的話就會(huì)第一時(shí)間進(jìn)行修復(fù)的，其它的現(xiàn)在沒(méi)有什么情況可以來(lái)對(duì)外發(fā)布。因?yàn)閷?duì)于京東來(lái)說(shuō)，我們可能沒(méi)有出現(xiàn)多大的問(wèn)題。解說(shuō)：而對(duì)于用戶數(shù)量更大的淘寶網(wǎng)，情況也同樣如此。那么，現(xiàn)在的問(wèn)題是，即使修復(fù)了漏洞，修改了密碼，用戶的個(gè)人信息就安全了嗎？評(píng)論員：這個(gè)問(wèn)號(hào)問(wèn)得好，其實(shí)還有很多的問(wèn)號(hào)，比如說(shuō)哪些網(wǎng)站涉及到此次的漏洞？哪些網(wǎng)站已經(jīng)修復(fù)？是否都需要改密碼？我們何時(shí)才改密碼才是最好的？接下來(lái)當(dāng)然我們還是要繼續(xù)連線嘉賓，網(wǎng)絡(luò)安全應(yīng)急技術(shù)，國(guó)家工程實(shí)驗(yàn)室的主任杜躍進(jìn)。杜主任，你看，您剛才也聽(tīng)到了，我們很多不僅是小網(wǎng)站，包括很多大網(wǎng)站，超級(jí)大網(wǎng)站也都沒(méi)有特別明確的提示信息，你覺(jué)得這種做法是否是合適的？杜躍進(jìn)：其實(shí)，嚴(yán)格的說(shuō)應(yīng)該是給用戶以提示。因?yàn)檫@件事情，一般的傳統(tǒng)的安全檢測(cè)設(shè)備很難發(fā)現(xiàn)到底哪個(gè)用戶受到影響。本質(zhì)上應(yīng)該如果給用戶一個(gè)提示會(huì)更好，提示應(yīng)該說(shuō)什么？說(shuō)一下有這個(gè)漏洞，這個(gè)漏洞大概是什么，用用戶能夠聽(tīng)得懂的話，尤其是提醒在這段時(shí)間里面使用過(guò)存在漏洞網(wǎng)站的這些網(wǎng)民，應(yīng)該要求他們主動(dòng)更改一下密碼。如果做的更進(jìn)一步的話，其實(shí)是可以針對(duì)這段時(shí)間，哪些用戶使用過(guò)自己的服務(wù)這個(gè)是可以知道的，應(yīng)開(kāi)始定向提醒這些用戶存在風(fēng)險(xiǎn)，這會(huì)是一個(gè)更好的做法。主持人：剛才在短片的后半部分，也有個(gè)超級(jí)大的網(wǎng)站在接受采訪的時(shí)候說(shuō)了這樣的一句話，其實(shí)我們沒(méi)覺(jué)得發(fā)現(xiàn)有什么大問(wèn)題，因此也不用提示，大致是這樣的意思，您覺(jué)得他的說(shuō)法是否是安全的？杜躍進(jìn)：這個(gè)說(shuō)法我覺(jué)得略微有點(diǎn)草率了。就好像我們持信用卡消費(fèi)，我們走遍世界，可能走到一個(gè)地方，那個(gè)地方的信譽(yù)不太好，你在這里面刷過(guò)一次信用卡，你有很高的可能性，你的信用卡在這次刷的過(guò)程中就被別人盜了。一個(gè)更加從客戶的角度來(lái)考慮的銀行，會(huì)在你回來(lái)之后，或者是說(shuō)你回國(guó)之后立即就告訴你，你去那個(gè)地方其實(shí)不一定安全，不一定說(shuō)你的信用卡就被偷了，但是那個(gè)地方不安全，他就建議你換卡，這是從用戶的角度來(lái)考慮，其實(shí)對(duì)服務(wù)方也是一個(gè)更好的做法。評(píng)論員：其實(shí)在這里還有一個(gè)非常關(guān)鍵的問(wèn)題，那就是每一個(gè)用戶，當(dāng)他知道了這件事情之后，覺(jué)得自己的安全受到了巨大的威脅，因?yàn)楫吘故氰€匙丟了，因此都想馬上改密碼，但是如果不告知的情況下改密碼是不是有的時(shí)候還是無(wú)效的？比如說(shuō)在它漏洞還沒(méi)有補(bǔ)上的時(shí)候？杜躍進(jìn)：對(duì)，如果是漏洞沒(méi)有補(bǔ)之前，改密碼是完全無(wú)效的，因?yàn)槟愀牡拿艽a還是會(huì)在服務(wù)器那里面，服務(wù)器的內(nèi)存里面，這個(gè)漏洞的意思就是，攻擊者可以從服務(wù)器里面非法提取一部分內(nèi)存的內(nèi)容，因此漏洞沒(méi)有改，改了密碼還有可能被偷走，所以一定要在漏洞被改了之后再來(lái)改密碼。主持人：接下來(lái)這個(gè)問(wèn)題，杜主任，就非常地具有實(shí)際性了，現(xiàn)在我相信，很多關(guān)注這個(gè)問(wèn)題的，比如說(shuō)電視機(jī)前的觀眾或者說(shuō)網(wǎng)友的話，都想要問(wèn)這樣的問(wèn)題，解決這個(gè)問(wèn)題，讓自己變得更加安全的合理程序應(yīng)該是什么？比如說(shuō)網(wǎng)站該做什么？接下來(lái)我再做什么？我什么時(shí)候做？杜躍進(jìn)：其實(shí)這件事情主要攻擊的還是針對(duì)網(wǎng)站，現(xiàn)在在技術(shù)分析上面，其實(shí)也可以攻擊用戶，但是現(xiàn)在大家認(rèn)為這種攻擊的意義其實(shí)比較小，主要是攻擊網(wǎng)站。因此，用戶自己其實(shí)可做的事情比較少，主要是這種網(wǎng)站應(yīng)該做，而且因?yàn)樗舻氖且粋€(gè)只有非常重要的服務(wù)才會(huì)使用的協(xié)議，因此這些網(wǎng)站對(duì)用戶的利益都是比較關(guān)鍵的，所以網(wǎng)站應(yīng)該非常高度重視這個(gè)，用戶只是需要知道這個(gè)意味著什么，應(yīng)該在什么情況下做什么。就像剛才說(shuō)到的，應(yīng)在它修復(fù)完之后改一下口令。除此之外，其實(shí)用戶還應(yīng)該注意到，網(wǎng)站只是一方面，它還影響到一部分加密通信，影響到一部分電子郵件，所以用戶還應(yīng)該清一下本機(jī)的緩存。評(píng)論員：杜主任，這還有一個(gè)問(wèn)題，是不是當(dāng)網(wǎng)站應(yīng)該執(zhí)行告知信息，你修補(bǔ)完了這個(gè)漏洞之后，提醒在沒(méi)有修補(bǔ)之前的時(shí)候，大家不要進(jìn)行消費(fèi)或者相關(guān)的流動(dòng)。但是一旦修補(bǔ)完這個(gè)漏洞，馬上要告訴消費(fèi)者。作為每一個(gè)網(wǎng)友來(lái)說(shuō)，當(dāng)這個(gè)漏洞，網(wǎng)站把它彌補(bǔ)了之后，修改密碼是不是必須要做的事情？杜躍進(jìn)：我認(rèn)為不見(jiàn)得是每一個(gè)用戶都必須要做的，但是應(yīng)該是在這一段時(shí)間里用過(guò)的人應(yīng)該要做的。主持人：接下來(lái)我們要繼續(xù)關(guān)注這個(gè)問(wèn)題。不僅僅是從網(wǎng)站或者說(shuō)個(gè)體用戶的角度，我們已經(jīng)快速地進(jìn)入到了互聯(lián)網(wǎng)的時(shí)代，從國(guó)家的戰(zhàn)略和技術(shù)的層面上來(lái)說(shuō)，怎么樣去防范這種非常新型的不安全？解說(shuō)：今天得知OpenSSL漏洞存在的廣大中國(guó)網(wǎng)友，恐怕都要共同面臨這樣一個(gè)困惑。那就是，當(dāng)我們打開(kāi)一家網(wǎng)站的網(wǎng)頁(yè)，想要輸入個(gè)人信息時(shí)，如何知曉這家網(wǎng)站是否存在OpenSSL漏洞？又怎么知道它已經(jīng)被修補(bǔ)過(guò)了呢？譚曉生360互聯(lián)網(wǎng)安全公司副總裁：就從總的這次受影響的中國(guó)的網(wǎng)站，可能會(huì)是在3萬(wàn)左右這個(gè)數(shù)字。今天下午的這個(gè)數(shù)字已經(jīng)有幾千個(gè)修了，但是還有一大半是目前沒(méi)有修的。解說(shuō)：中國(guó)計(jì)算機(jī)學(xué)會(huì)、信息安全專業(yè)委員會(huì)主任嚴(yán)明在此次漏洞被發(fā)現(xiàn)之后，直呼其影響不亞于互聯(lián)網(wǎng)上的一場(chǎng)地震。今天，記者也對(duì)其進(jìn)行采訪，詢問(wèn)在網(wǎng)絡(luò)安全出現(xiàn)隱患時(shí)，國(guó)內(nèi)究竟有沒(méi)有相應(yīng)機(jī)構(gòu)能夠及時(shí)站出來(lái)加以干預(yù)？嚴(yán)明中國(guó)計(jì)算機(jī)學(xué)會(huì)信息安全專業(yè)委員會(huì)主任：在我們國(guó)家有一個(gè)機(jī)構(gòu)叫CNCERT(國(guó)家互聯(lián)網(wǎng)應(yīng)急中心)，它這個(gè)應(yīng)急中心就有責(zé)任及時(shí)發(fā)布信息，通知有關(guān)用戶來(lái)更新，同時(shí)提醒我們的廣大民眾要注意這種威脅，這是一家機(jī)構(gòu)。第二個(gè)當(dāng)然就是我們的公安，因?yàn)楣灿幸恢ш?duì)伍，網(wǎng)絡(luò)安全保衛(wèi)的警察，他實(shí)際上致力于在日常，建立一種信息安全的保護(hù)和監(jiān)管的機(jī)制。解說(shuō)：那么問(wèn)題又來(lái)了，將修補(bǔ)情況公示的責(zé)任，究竟應(yīng)該歸屬于誰(shuí)？是網(wǎng)站運(yùn)營(yíng)者的自發(fā)公布？還是相應(yīng)網(wǎng)絡(luò)安全機(jī)構(gòu)對(duì)網(wǎng)站加以要求呢？嚴(yán)明：運(yùn)營(yíng)商它自己就應(yīng)該發(fā)布了，咱們不是有一句話叫誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)嗎？記者：但是這種東西畢竟是漏洞，這可能對(duì)網(wǎng)站來(lái)說(shuō)，它并不是一個(gè)特別正面的信息，網(wǎng)站可能不愿意把它公布出去，或者是有的網(wǎng)站干脆就沒(méi)改，那這種情況怎么辦？嚴(yán)明：怎么辦呢？一個(gè)是我們查到它了，一個(gè)是發(fā)生了，它要承擔(dān)后果，來(lái)處理它了。你現(xiàn)在想，我們也只能這樣了。解說(shuō)：既然如此，為何國(guó)內(nèi)的網(wǎng)絡(luò)安全機(jī)構(gòu)不能監(jiān)督存在漏洞的網(wǎng)站，及時(shí)進(jìn)行修補(bǔ)，并向網(wǎng)友進(jìn)行公示呢？在這里，嚴(yán)主任給記者打了這樣一個(gè)比喻。嚴(yán)明：就像我們對(duì)防火有很具體的要求，消防部門有專門的防火科，就是進(jìn)行防火的宣傳教育和檢查。他們會(huì)定期檢查公共場(chǎng)所和單位防火措施做得怎么樣，但是我們還是發(fā)生火災(zāi)，發(fā)生火災(zāi)以后，還是發(fā)現(xiàn)有些地方，有些單位根本就不按要求做，所以打防結(jié)合，以防為主的落實(shí)，其實(shí)是一個(gè)很復(fù)雜的工程。有的時(shí)候是很困難，而且讓人很糾結(jié)的。評(píng)論員：互聯(lián)網(wǎng)快速走進(jìn)我們的生活，帶來(lái)新的巨大的便利的同時(shí)，也帶來(lái)新的巨大的不安全感，因此大家早有這樣的一種感受。比如說(shuō)網(wǎng)絡(luò)的調(diào)查，2013年網(wǎng)絡(luò)安全報(bào)告，非常擔(dān)心，25%；有點(diǎn)擔(dān)心，45%，加起來(lái)接近70%。最擔(dān)心的是什么？我們看，71%最擔(dān)心的網(wǎng)銀的賬號(hào)一旦不安全就麻煩了，接下來(lái)是郵箱賬號(hào)。新出現(xiàn)的“心臟出血”的漏洞，它的級(jí)別到什么樣的地步，又該如何防范呢？繼續(xù)連線杜躍進(jìn)主任，杜主任您好。杜躍進(jìn)：你好。評(píng)論員：這次“心臟出血”的漏洞，在您的工作中您應(yīng)該最敏感，它屬于常規(guī)性的不安全？還是一個(gè)非常讓你警覺(jué)的，新的極大的不安全？杜躍進(jìn)：我覺(jué)得它是一個(gè)需要非常重視的很重要的不安全，原因就是我剛才講過(guò)的，它所影響到的不是一般的網(wǎng)站和服務(wù)，它所影響的是非常重要的，需要使用加密通信的這種服務(wù)，這種服務(wù)對(duì)用戶的利益關(guān)系都是比較密切的。評(píng)論員：杜主任，是否從現(xiàn)在來(lái)說(shuō)，你甚至都不好判斷這件事情接下來(lái)有可能帶來(lái)什么樣的個(gè)人的損失？杜躍進(jìn)：沒(méi)錯(cuò)，因?yàn)樵谶@段時(shí)間里面，黑客究竟偷走了哪些東西，現(xiàn)在是沒(méi)有人知道的，它這些東西在后續(xù)很長(zhǎng)的一段時(shí)間里面會(huì)被怎樣利用，現(xiàn)在是看不出來(lái)的。評(píng)論員：接下來(lái)就涉及到了一個(gè)更大的安全的問(wèn)題，剛才我說(shuō)了，互聯(lián)網(wǎng)快速地走進(jìn)我們的生活，帶來(lái)了很大新的便利，但是也帶來(lái)了很多新的巨大的不安全，您