据有关消息称,“心脏出血”漏洞对酒店业的技术设施造成了极大威胁。各酒店应立即采取应对行动。
以下是酒店经营者们需要了解的内容。
什么是“心脏出血”漏洞?
“这是一种病毒”,CitizenM 酒店首席信息官尼克·普莱斯(Nick Price)说,“我们的基本传输层资料的加密功能出现了问题,”OpenSSL 作为常用的安全协议,用来实现网络通信的高强度加密,被广泛地用于各种网络应用程序中。
他说,我们最常见的标志就是浏览器中出现的锁状标志,比如我们登录某个银行网址时,就可以看到该标志,提示用户安全登录。而现在这把安全锁出现了问题。简单的说,黑客可以对使用https(存在此漏洞)的网站发起攻击,每次读取服务器内存中64K数据,不断的反复获取,内存中可能会含有用户http原始请求、用户cookie甚至明文帐号密码等。可怕的是利用该漏洞窃取信息不会留下作案证据。
“心脏出血”漏洞的来源?
普莱斯说,虽然该漏洞的潜在威胁极大,但是它的来源只是很普通的编码错误。是一些程序员为开放源代码社区编写OpenSSL协议时产生的。
封闭源代码一般受传统技术巨头如微软控制,而开放源代码采用公共,合作的方式进行开发,由许多程序员参与源代码测试。
类似的漏洞或错误也经常发生,普莱斯说,但是以前这类漏洞发现时间较早,而且也不会演变为灾难性漏洞。然而,“心脏出血”漏洞在被发现前,已经存在了两年的时间。
该漏洞对酒店业的威胁?
普莱斯说“的确,这一漏洞很严重,不是因为它已经造成很大问题,乃是它将带来很多问题。事实上,一周前,包括黑客和网络犯罪分子的所有人都还不知道这一漏洞。
“然而,这个漏洞很容易被利用,而且影响范围广泛(几乎所有已https开头的网址服务器都受影响)。所以你必须做点什么。”
“然而,这个漏洞很容易被利用,而且影响范围广泛(几乎所有已https开头的网址服务器都受影响)。所以你必须做点什么。”
你怎么知道哪些软件存在威胁?
存在漏洞的OpenSSL库包括OpenSSL 1.0.1,及其A到G的版本。这些版本均有代码漏洞。
了解哪些版本有漏洞后,酒店的首席信息官,或者酒店内的技术团队可以对漏洞进行修复。
Vantage酒店集团的电子商务总监戴布·兰伯特(Deb Lambert)表示,倘若酒店内没有精通技术的人员,那么最好去向供应商寻求帮助。
“我们的本能反应是,让我们问问我们的技术供应商,以确保我们没事。如果他们能确认说‘是的,你的安全证书没问题,软件没有漏洞,’然后我们再仔细检查下一级的供应商比如我们的电子邮件提供商,”她说。
有关消息称,无论大型酒店还是小规模的酒店,都应该对其系统进行分析检测。很多国际知名酒店已经发表相应的声明。比如,万豪发表了如下说明:
“我们意识到了“心脏出血”漏洞的危害,我们将竭尽全力保护我们客户的信息。我们正在对我们面向客户的系统进行一个全面的评估,包括Marriott.com和我们万豪奖励系统。我们没有发现表明这些系统已经受“心脏出血”漏洞影响的迹象。我们将继续保持警惕监视这些系统,努力保护客人信息安全。“
对于缺乏主要技术支持的酒店,许多供应商将提供免费的扫描来确定服务器的完整性。兰伯特(Lambert)建议使用McAfee的True Intelligence Feed (测试版)软件。酒店只要输入他们想测试的完整的安全域名 (例如,https://www.hotelnewsnow.com),服务器会告知是否存在漏洞。
如何保护你的公司和客户?
软件有漏洞并不意味着已经被盗用,普莱斯澄清道。“但它确实意味着有被盗的可能性。因此我们必须采取相对简单而有效的行动进行处理。”
“止血”意味着更新有漏洞的OpenSSL。 第三方解决方案的责任落在了供应商的身上;而内部系统,酒店经营者必须自己处理。
重要的是有人采取行动,酒店核实必要的更新。
“无知不是借口。避免非常严重的潜在问题发生或解决这个问题是基于你对基础设施状况的了解,并且采取适当的行动,以确保基础设施中的各类软件得到适当的修补和更新”普莱斯说。
评论
全部评论