HeartBleed 漏洞从被发现到曝光,中间的这么长时间,黑客们都干啥去了

黑客们都忙着刷数据呢。
■网友
是不是金融机构和黑客全是傻瓜,应该1分钟破解漏洞?
■网友
我觉得还是需要纠正一下你的看法,拿互联网企业安全机制想当然的代入网银系统,是不对的。银行业务有个东西叫“关键会计凭证”——就算是网银渠道,也要有这个东西,这是业务安全的一个必要条件,但是首先它是一个会计和金融业务概念,然后才在基于互联网的网银系统里有一个对应的物理实体——就是现在的二代USB Key。《网上银行密码应用技术规范(征求意见稿)》《网上银行系统信息安全通用规范(试行)》【银发〔2010〕19号《GB_T_20983-2007信息安全技术 网上银行系统信息安全保障评估准则.pdf》三个标准已经写得非常简单明了了,网银和基于用户名口令的互联网业务的最大的不同,就是业务本身的差异性。好像这点没人关注。现在来回答你的问题,从两方面来看,第一,阴谋论的话,就是NSA在两年前已经掌握并开始利用漏洞,这跟老百姓没关系。第二,黑客非NSA两年前已经掌握并利用漏洞,这个就比较可怕。但是并没有安全公司和媒体渲染的那么严重。具我从圈里面了解,即使成功利用漏洞刷内存数据,获得有价值数据的几率也是很低的,而且貌似现在没有比较好的POC。而且,这个漏洞利用成功率跟该网站用户活跃度有直接关系,也就是说,只有刷京东,淘宝这样的大电商才会有比较高被刷数据的危险性,而且还得保证你访问的时候正好有人在利用这个漏洞刷数据。。。算下概率。。。很重要的一个方面就是,应用安全与技术漏洞的区别被弱化甚至避而不谈了。
■网友
有价值的数据早就拿走了!
■网友
【HeartBleed 漏洞从被发现到曝光,中间的这么长时间,黑客们都干啥去了】 应了蘑菇的那句话:看你有没有黑的价值…


    推荐阅读