【大纪元2014年04月11日讯】(大纪元记者何坚温哥华综合报道)4月8日全球互联网不啻爆发大地震,网络底层安全协议OpenSSL被曝光隐藏核弹级漏洞“Heartbleed”。即日起全球的互联网公司都似坐在火山口,全球超过三分之二的网站,因为这一漏洞的爆出,而暴露在危险之下。正处于报税季节的加拿大人也不例外,遭“Heartbleed”风波殃及,加拿大税务局(CRA)网站已被迫关闭线上服务。
“Heartbleed”,可翻译为“心脏出血”,对于互联网的冲击,无疑是天灾级别,无论是政府机构、还是商界公司,哪怕是平民大众,都会受到影响,尤其是财务、身份或任何敏感信息,都变得不再安全。即使用户用安全通道登陆网站,但由于Heartbleed漏洞的存在,仍可能会发生银行账户遭窃、网络机密数据被盗、个人信息被泄露等等灾难性损失。目前已被IT业界称为过去10年中最严重的互联网威胁。
Heartbleed核弹引爆 CRA封网防御
加拿大税务局已经宣布,因为“Heartbleed”安全漏洞的缘故,本周直到周末前都会关闭线上服务。星期二当天晚上,CRA就已经从网站上拿掉了公众登陆的入口,以保护敏感的纳税人信息不被盗取。
CRA星期三表示,目前正在全力补救线上服务,希望能在周末时恢复。“CRA承认该问题会对依靠CRA线上资讯和服务的加拿大个人,造成极大的不便。为此,税务局局长已经表态个人纳税人不会因为服务中断而遭受任何处罚。”
OpenSSL作为一种过去相对安全的底层协议,全球有三分之二的服务器都有安装,是现代网络通讯实现高强度加密的最常用的手段之一。
4月8日互联网专家发现,部分版本的OpenSSL在处理一种叫“心跳”(Heartbeat)的扩展数据时,存有漏洞,攻击者可以借此伪装成授权用户登录,窃取加密敏感数据。因此这种漏洞也被叫做“心脏出血”( Heartbleed)。
技术专家 Carmi Levy表示:凭借这种“心脏出血”漏洞,黑客们就像拿到了你家的备用钥匙一样,可以随时光临,目前全世界的服务器管理者都在忙于修补漏洞,试图封闭这扇黑客后门。
加拿大税务局的应对举措,已经关闭了例如EFILE、NETFILE线上报税服务,同时也封闭了My Account、My Business Account 、Represent a Client等个人和商业账户的登陆通道。
据CBC报导,税务局长Kerry-Lynne Findlay在星期三的新闻会上表示,CRA当天就得知Heartbleed的消息,当晚CRA职员彻夜未眠,全力修补网站漏洞。
“毫无疑问,我们每天处理的,都是非常敏感的纳税人的信息,因此我们希望防范于未然,来确保我们的系统稳健,并尽可能快的备份数据。我们知道在加拿大人的报税时节,这是一个艰难时刻,我们正全力以赴。”
局长被媒体询问已经报税的人是否应担心信息失窃时,Findlay并未直接回应,只是称关闭网站是预防措施,CRA正在着手解决。
2014年加拿大个人报税截止期限为本月底。截至3月24日,已有约670万加拿大人在线上报税。
NDP炮轰保守党忽视公共服务
不过,反对党NDP没有放过抨击保守党的机会,指责政府没有重视公共服务的管理。
NDP党魁唐明凯(Tom Mulcair)在国会山说:“保守党在公共管理上表现实在是差,他们无法运送粮食,也不能送好信件,现在到了报税季节,他们甚至都没办法保障加拿大人在线上报税。”
“他们把公共服务置于最次等的优先级,因此我们并不惊讶于线上服务的崩溃。”
自由党党魁特鲁多(Justin Trudeau)则呼吁政府要赶快解决这个问题。“我认为这极端重要,我们都清楚安全问题并非简简单单的砖瓦高墙。” 他表示技术和信息安全是21世纪的巨大忧患,因此需确保加国各个政府机构,尤其是类似税务局这样处理敏感数据的部门,务必要紧跟潮流,就像在现实中那样,在虚拟世界中保护好加拿大人。特鲁多称期待未来几周中政府的作为和回应。
联邦负责网络安全的部门-加拿大网络事件反应中心(Canadian Cyber Incident Response Centre,简称CCIRC),星期二已经发布OpenSSL警告,称OpenSSL安全漏洞会让黑客远程攻击、窃取加密数据。CCIRC称会保护加拿大免遭虚拟攻击,建议系统管理员们对受影响的平台,进行测试并部署安全更新。
专家建议改密码
修复这种Heartbleed的方法很简单,但麻烦的是必须追溯地安装在系统中,这意味着在堵上这个漏洞之前,黑客们借此潜入窃取数据的痕迹,将难以追查。
专门从事密码管理解决方案的Dashlane公司总裁Emmanuel Schalit表示,许多因素令Heartbleed成为近年来最危险的互联网安全威胁。
首先是因为OpenSSL是互联网上应用最广泛的技术,这导致65%~70%的网站都存在Heartbleed漏洞。而且尽管Heartbleed是两天前才曝光,但黑客们最早可能从2012年3月就已发现该漏洞,并加以利用。Schalit说,Heartbleed漏洞使得黑客攻击无法被追溯,因此黑客潜入且不留痕迹,这意味着Heartbleed实际造成的损失程度很难得知。另外,原本不知情的黑客,现在可能也会开始利用Heartbleed发动攻击。
所以,Heartbleed已经成为当前互联网上最大的安全隐患,Schalit建议用户最好更换原先的密码,因为之前的加密数据都不再安全,可能已被窃取。还有安全专家建议在未来几天的时间内避免登录在线购物、银行网站和其他需要输入敏感数据,如姓名、地址、信用卡号等的网站。如果需要,最好预先确认相关网站已经修补这一漏洞。
(责任编辑:李梅)◇
