HeartBleed 漏洞从被发现到曝光,中间的这么长时间,黑客们都干啥去了
黑客们都忙着刷数据呢。
■网友
是不是金融机构和黑客全是傻瓜,应该1分钟破解漏洞?
■网友
我觉得还是需要纠正一下你的看法,拿互联网企业安全机制想当然的代入网银系统,是不对的。银行业务有个东西叫“关键会计凭证”——就算是网银渠道,也要有这个东西,这是业务安全的一个必要条件,但是首先它是一个会计和金融业务概念,然后才在基于互联网的网银系统里有一个对应的物理实体——就是现在的二代USB Key。《网上银行密码应用技术规范(征求意见稿)》《网上银行系统信息安全通用规范(试行)》【银发〔2010〕19号《GB_T_20983-2007信息安全技术 网上银行系统信息安全保障评估准则.pdf》三个标准已经写得非常简单明了了,网银和基于用户名口令的互联网业务的最大的不同,就是业务本身的差异性。好像这点没人关注。现在来回答你的问题,从两方面来看,第一,阴谋论的话,就是NSA在两年前已经掌握并开始利用漏洞,这跟老百姓没关系。第二,黑客非NSA两年前已经掌握并利用漏洞,这个就比较可怕。但是并没有安全公司和媒体渲染的那么严重。具我从圈里面了解,即使成功利用漏洞刷内存数据,获得有价值数据的几率也是很低的,而且貌似现在没有比较好的POC。而且,这个漏洞利用成功率跟该网站用户活跃度有直接关系,也就是说,只有刷京东,淘宝这样的大电商才会有比较高被刷数据的危险性,而且还得保证你访问的时候正好有人在利用这个漏洞刷数据。。。算下概率。。。很重要的一个方面就是,应用安全与技术漏洞的区别被弱化甚至避而不谈了。
■网友
有价值的数据早就拿走了!
■网友
【HeartBleed 漏洞从被发现到曝光,中间的这么长时间,黑客们都干啥去了】 应了蘑菇的那句话:看你有没有黑的价值…
推荐阅读
- 漏洞|家里有孩子的,一定不要忽略这个漏洞!警惕!同一小区8人确诊
- 隐秘而伟大|《隐秘而伟大》结尾有漏洞?全剧三处穿帮镜头,沈青禾占两处
- 光明网|兰州:不介绍新学员 就不让你练车 ?驾校:确实存在管理漏洞,会监督教练处理退费问题
- 特斯拉|特斯拉全自动驾驶更新!可礼让行人、识别红绿灯,这一硬件漏洞仍需警惕
- 湖南50岁男子出门寻妻后失踪,被发现时已坠河身亡
- 消防队员|险!姜堰一男子被困泥塘,直到早晨才被发现...
- 汽车知识|170W的新车被发现修过,4S店愿退车或换车,车主:没有500W不谈
- 怎样像360补天的合肥滨湖虎子一样挖漏洞挣钱
- 关于近期频频有小伙伴工行卡被骗钱的问题是不是工行内部有漏洞
- 幼儿园虐童频发戳痛社会 背后还有哪些需要堵的漏洞?