【大纪元2014年04月18日讯】【大纪元记者徐杰d多伦多综合报导】心脏流血(heartbleed)安全漏洞最近引发人们恐慌。加拿大联邦政府税务局(CRA)的互联网报税系统遭到攻击,近千加拿大人的SIN号(工卡号)被窃取,政府和银行以及企业机构等已高度戒备。
计算机安全专家表示,CRA的工卡号被盗只是加拿大互联网系统的心脏流血安全漏洞的“冰山一角”,问题将层出不穷,加拿大人要做好应对更大的“漏洞”的准备,并采取适当的安全防护措施。
900工卡号被盗仅是“冰山一角”
心脏流血漏洞简称心血漏洞或心血虫,是互联网上广泛使用的计算机安全软件程序OpenSSL出现的一个严重设计错误而让黑客有机可乘。恶意攻击者通过该漏洞读取互联网服务器或客户端的内存信息,从而获得如服务器SSL私钥等敏感信息。
据《国家邮报》报导,“目前,我们看到的(心血漏洞)只是冰山一角。” 亚伯塔计算机及软件系统安全专家John Zabiuk说:“心脏流血问题可能是历史上最大的互联网安全漏洞。”
Zabiuk在阿尔伯塔埃德蒙顿职业技术学院(NAIT)教授计算机安全课程,教学生如何防止计算机黑客袭击。他认为,CRA官员有很大可能会发现更多工卡号成为“心血虫”的牺牲品。“事实上,超过三分之二的互联网计算机系统受到心脏流血安全漏洞的影响。”他说:“我们将看到更多的全漏洞问题浮出水面。”
Zabiuk指出,心脏流血安全漏洞已经存在2年时间。900个工卡号是CRA在线报税系统在过去2周受到6个小时攻击过程中的牺牲品。他说:“在这之前,问题已经出现2年时间,不知道有多少工卡号出了问题?”
Zabiuk认为,在发现问题后,加拿大税务局及时采取了行动,如关闭在线报税系统等。加拿大政府互联网计算机系统在上周末已经恢复正常运行,包括CRA的E-file和Netfile在线报税系统。
不过,多伦多大学全球事务学院公民实验室博士后Christopher Parsons则认为,加拿大政府对“心血漏洞”问题反应迟钝。政府对互联网系统的安全意识没有私人部门(如企业)的安全意识高。例如,雅虎公司在CRA的“心血漏洞”事故之前已经对公司的互联网软件系统做了全面的防护,安装了相关的软件补丁。
Zabiuk指出,修复心血漏洞的方法很简单,就是对计算机系统运行OpenSSL软件补丁。但是,问题是现在有数以万计的计算机系统受到影响,对他们进行修复不是一件容易的事情。
预防心血漏洞方法
由于加拿大税务局等政府部门的互联网计算机系统遭到心血漏洞侵蚀,私人敏感信息(如工卡号、银行账号和信用卡号等)可能已经泄漏或被窃取,加拿大人应该提高警惕。《金融邮报》报导说,互联网计算机用户可以使用下面几个方法来避免成为心血漏洞的受害者或减少受害几率。
第1个方法是加强你的计算机的安全防护,使得黑客难于攻击。计算机安全防护方法包括:安装信得过的最新防病毒软件,并定期扫描你的计算机系统。使用自动软件更新功能对计算机操作系统和网页浏览器进行定期更新。
不要打开来历不明的邮件及其附件,如文件和图片等。不安装不可信的软件。不点击任何不可信的互联网连接。
CRA提醒加拿大人:任何以CRA收税员名义发电子邮件向你索取工卡号的做法,或告诉你要给你退税、请你点击一个连接并输入工卡号的做法,均是欺诈行为。
访问互联网或进行网购时要特别小心。避免使用可疑或没有名声或信誉低的网页,使用有信誉的大零售商的网页如亚马逊公司网页购物,以及使用公认的在线付账系统如PayPal。
《国家邮报》报导说,使用Chrome访问互联网的用户可以安装Chromebleed应用程序。在访问一个网页前,该应用程序可以告诉你该网页是否已经受到“心血漏洞”的感染。
你的银行、信用卡和其他私人账号要使用安全系数高的密码,如由随机选择的大小字母、数字和特殊符号组成的密码,并定期更改密码。避免用你的生日、母亲的婚前名、简单的数字和任何私人信息做密码。◇
========================
担心SIN号被盗?有办法对付
【大纪元记者李平编译报导】近日,加拿大税局(CRA)网站遭心脏流血(Heartbleed)网络安全漏洞攻击导致900个社会保险号(SIN)失窃一事被媒体披露后,引起人们对SIN号安全的担心,身份被盗问题也再次成为公众关注焦点。
SIN,即社会保险号,又称工卡号,共9个数字,是每个人在加拿大就业、享受政府计划和领取政府福利的数字身份。如落入他人手中,可能会被滥用,身份也可能被盗。
加拿大隐私专员办公室(OPCC)网站上说,SIN号可能是打开个人 信息之门的关键。如落入他人之手,就可被用于盗取身份,加上其他个人信息,还可以被用于申请信用卡或开银行账户、租车或设备、或酒店入住等,到时候留下的一大堆账单、费用、坏支票和税费等,就由被盗之人来承担。
加拿大反欺诈中心(CAFC)数据显示,去年共1.9473万加人报身份被盗,损失总计110亿之多。无论SIN号是否被盗,都要注意保护好自己的个人信息和身份信息。
*减少风险
SIN号只能提供给雇主、银行或政府相关机构等合法索取机构。有权索取个人SIN号的政府部门可查询http://www.priv.gc.ca/resource/fs-fi/02_05_d_02_e.ASP网站。永远不要通过电话或邮件透露自己的SIN号,最好不要随身携带,尽量记住这9个数字,然后将卡存放在安全保密的地方。
*被盗后怎么办?
一旦发现SIN丢失或被人不当利用,立即联系加拿大服务部。改名、更换国籍时,或配偶去世后代表配偶,也要联系服务部。如身份已经被盗,立即报警,并索取报警报告副件。
然后联系债权人,如银行、信用卡公司等,报废信用卡,申请新卡,记住要设定新的PIN码。用笔记下防范欺诈的所有步骤,记下和谁通过话等。如怀疑身份被盗,CAFC是最好的求助对象。
*监控邮件
银行和信用卡账单,仔细查看,看是否有异常交易或消费活动,注意账单寄送周期。注意不要漏掉任何看起来似乎非常普通的发票,检查是否有篡改迹象,如信封被撕开或邮箱锁被打坏等。为了了解当事人及其更多信息,诈骗分子通常手段之一是将邮件地址转至他处。
*检查信用报告
联系加拿大2家全国性信用局:TransUnion 或Equifax,索取一份免费信用报告。如支付一定费用,这2家信用机构还会提供一份信用定期跟踪报告,在有人利用你的名字开新账户或信用卡之时提醒。
OPCC建议,通常情况下,一致建议人们每年查看一次自己的信用报告,看是否准确。TransUnion 或Equifax2家机构和其他保险机构还提供身份盗用欺诈保险。
*经常更改密码
经常更换密码,提高密码难度。在最近的心脏流血安全漏洞攻击中,以及当前网络时代,定期更改密码最关键的,但许多人却不太重视。
更改密码时,不要用母亲娘家的姓,不要用宠物的名字,或街道名字或自己最喜欢的体能团队名字,即最好不用别人能轻易猜到的东西。不同网站,可以考虑用不同的密码,这样,如一个被盗,其他网站密码仍能保持安全。◇
(责任编辑:林妍)
