在最近两个月时间里,互联网看似风平浪静,并没有发生较大的网络安全漏洞,然而,这并不多代表网络安全形势已经好转,早在今年的4月份,一种名为“心脏流血”(Heartbleed)的重大安全漏洞占据了新闻报刊的头版头条。
但是,据相关研究称,迄今为止,仍然有30多万台服务器存在心脏流血安全漏洞。
心脏安全漏洞可让你的通讯信息遭到黑客入侵,他们会从中窃取你用以登陆网络银行、电子商务网站和其他网络的身份信息。
多年来,心脏流血漏洞一直隐藏在维护网络通信安全的OpenSSL软件中。直到今年4月1日才发现它,人们才知道了它的存在。
在心脏流血漏洞首次被公诸于众的时候,全球约有61.5268万台服务器存在心脏流血漏洞。一个月后,只有31.8239万台服务器存在这种漏洞,这就是说已有一半的服务器修复了这个漏洞。但是,上周六公布的研究结果仍然令人感到担忧,它显示至今仍有30.9197万台服务器存在这个漏洞。
这表明人们已停止修复漏洞了。”在未来十年内,随着老旧系统逐渐被淘汰,我们应该会看到这个数字会逐渐降低。但是,预计在此后的十年中,我们仍然会发现数千台服务器,包括一些非常重要的服务器,存在这种安全漏洞。我将会在下个月再次统计一下这个数据;然后在六个月后和一年后分别再跟踪一下这个数据。”
在服务器修复这个安全漏洞之前,也有一些方法可以帮助你保护你的网络数据。
1. 列出你使用的所有重要网站以及你拥有的账户。盘点一下你的所有网络身份,请务必记下你用以访问网络银行、医疗数据、电子邮件或通讯信息的任何应用程序或网站。想一想你不希望别人访问到的内容。提示:你可以查看一下你的书签。
2. 查查其中有哪些网站仍然存在心脏流血漏洞。现在有很多在线查阅心脏流血漏洞的工具,例如LastPass或Filippo Valsorda开发的工具,以及Chrome或Firefox浏览器的插件Chromebleed或Heartbleed-Ext。对于仍然存在这种安全漏洞的网站,你不要急着修改密码,不妨缓一缓,等到漏洞修复之后再行修改。这样你就不必在漏洞修复之后再次修改密码了。在漏洞修复之前,尽可能少访问这些网站。
3. 对于已修复心脏流血漏洞的网站,你应该及时更新你的密码。要使用数字和字母组合的密码,但不要用具有实际意义的词汇。在可能的情况下,尽量做到用不同密码访问不同网站。这样做可能并不容易,因为你必须设置和记住各种不同的密码。但是,现在有很多密码管理应用程序可以帮你做到这一点,例如LastPass、1Password、Dashlane、Lookout和PasswordBox。