【大紀元2014年04月11日訊】(大紀元記者何堅溫哥華綜合報道)4月8日全球互聯網不啻爆發大地震,網絡底層安全協議OpenSSL被曝光隱藏核彈級漏洞「Heartbleed」。即日起全球的互聯網公司都似坐在火山口,全球超過三分之二的網站,因為這一漏洞的爆出,而暴露在危險之下。正處於報稅季節的加拿大人也不例外,遭「Heartbleed」風波殃及,加拿大稅務局(CRA)網站已被迫關閉線上服務。
「Heartbleed」,可翻譯為「心臟出血」,對於互聯網的沖擊,無疑是天災級別,無論是政府機構、還是商界公司,哪怕是平民大眾,都會受到影響,尤其是財務、身份或任何敏感信息,都變得不再安全。即使用戶用安全通道登陸網站,但由於Heartbleed漏洞的存在,仍可能會發生銀行帳戶遭竊、網絡機密數據被盜、個人信息被洩露等等災難性損失。目前已被IT業界稱為過去10年中最嚴重的互聯網威脅。
Heartbleed核彈引爆 CRA封網防御
加拿大稅務局已經宣布,因為「Heartbleed」安全漏洞的緣故,本週直到週末前都會關閉線上服務。星期二當天晚上,CRA就已經從網站上拿掉了公眾登陸的入口,以保護敏感的納稅人信息不被盜取。
CRA星期三表示,目前正在全力補救線上服務,希望能在週末時恢復。「CRA承認該問題會對依靠CRA線上資訊和服務的加拿大個人,造成極大的不便。為此,稅務局局長已經表態個人納稅人不會因為服務中斷而遭受任何處罰。」
OpenSSL作為一種過去相對安全的底層協議,全球有三分之二的服務器都有安裝,是現代網絡通訊實現高強度加密的最常用的手段之一。
4月8日互聯網專家發現,部分版本的OpenSSL在處理一種叫「心跳」(Heartbeat)的擴展數據時,存有漏洞,攻擊者可以藉此偽裝成授權用戶登錄,竊取加密敏感數據。因此這種漏洞也被叫做「心臟出血」( Heartbleed)。
技術專家 Carmi Levy表示:憑借這種「心臟出血」漏洞,黑客們就像拿到了你家的備用鑰匙一樣,可以隨時光臨,目前全世界的服務器管理者都在忙於修補漏洞,試圖封閉這扇黑客後門。
加拿大稅務局的應對舉措,已經關閉了例如EFILE、NETFILE線上報稅服務,同時也封閉了My Account、My Business Account 、Represent a Client等個人和商業賬戶的登陸通道。
據CBC報導,稅務局長Kerry-Lynne Findlay在星期三的新聞會上表示,CRA當天就得知Heartbleed的消息,當晚CRA職員徹夜未眠,全力修補網站漏洞。
「毫無疑問,我們每天處理的,都是非常敏感的納稅人的信息,因此我們希望防范於未然,來確保我們的系統穩健,並盡可能快的備份數據。我們知道在加拿大人的報稅時節,這是一個艱難時刻,我們正全力以赴。」
局長被媒體詢問已經報稅的人是否應擔心信息失竊時,Findlay並未直接回應,只是稱關閉網站是預防措施,CRA正在著手解決。
2014年加拿大個人報稅截止期限為本月底。截至3月24日,已有約670萬加拿大人在線上報稅。
NDP炮轟保守黨忽視公共服務
不過,反對黨NDP沒有放過抨擊保守黨的機會,指責政府沒有重視公共服務的管理。
NDP黨魁唐明凱(Tom Mulcair)在國會山說:「保守黨在公共管理上表現實在是差,他們無法運送糧食,也不能送好信件,現在到了報稅季節,他們甚至都沒辦法保障加拿大人在線上報稅。」
「他們把公共服務置於最次等的優先級,因此我們並不驚訝於線上服務的崩潰。」
自由黨黨魁特魯多(Justin Trudeau)則呼吁政府要趕快解決這個問題。「我認為這極端重要,我們都清楚安全問題並非簡簡單單的磚瓦高牆。」 他表示技術和信息安全是21世紀的巨大憂患,因此需確保加國各個政府機構,尤其是類似稅務局這樣處理敏感數據的部門,務必要緊跟潮流,就像在現實中那樣,在虛擬世界中保護好加拿大人。特魯多稱期待未來幾週中政府的作為和回應。
聯邦負責網絡安全的部門-加拿大網絡事件反應中心(Canadian Cyber Incident Response Centre,簡稱CCIRC),星期二已經發布OpenSSL警告,稱OpenSSL安全漏洞會讓黑客遠程攻擊、竊取加密數據。CCIRC稱會保護加拿大免遭虛擬攻擊,建議系統管理員們對受影響的平台,進行測試並部署安全更新。
專家建議改密碼
修復這種Heartbleed的方法很簡單,但麻煩的是必須追溯地安裝在系統中,這意味著在堵上這個漏洞之前,黑客們藉此潛入竊取數據的痕跡,將難以追查。
專門從事密碼管理解決方案的Dashlane公司總裁Emmanuel Schalit表示,許多因素令Heartbleed成為近年來最危險的互聯網安全威脅。
首先是因為OpenSSL是互聯網上應用最廣泛的技術,這導致65%~70%的網站都存在Heartbleed漏洞。而且儘管Heartbleed是兩天前才曝光,但黑客們最早可能從2012年3月就已發現該漏洞,並加以利用。Schalit說,Heartbleed漏洞使得黑客攻擊無法被追溯,因此黑客潛入且不留痕跡,這意味著Heartbleed實際造成的損失程度很難得知。另外,原本不知情的黑客,現在可能也會開始利用Heartbleed發動攻擊。
所以,Heartbleed已經成為當前互聯網上最大的安全隱患,Schalit建議用戶最好更換原先的密碼,因為之前的加密數據都不再安全,可能已被竊取。還有安全專家建議在未來幾天的時間內避免登錄在線購物、銀行網站和其他需要輸入敏感數據,如姓名、地址、信用卡號等的網站。如果需要,最好預先確認相關網站已經修補這一漏洞。
(責任編輯:李梅)◇
