4月8日外媒爆出，研究人員發(fā)現(xiàn)OpenSSL漏洞遍及全球網(wǎng)際網(wǎng)路公司，併為其起了個形象的名字“心臟出血”，中國超過3萬臺主機(jī)受波及，國內(nèi)網(wǎng)站和安全廠商技術(shù)人員為檢查、搶修徹夜未眠。截至昨天，有超30%的主機(jī)已經(jīng)修復(fù)，“大站”紛紛表示安全，但技術(shù)人士稱，消費(fèi)者敏感資訊是否洩露還有待日後觀察。

　　□事件

　　OpenSSL漏洞曝光

　　4月8日，OpenSSL的大漏洞曝光，外國駭客將其命名為“heartbleed”，用最致命的內(nèi)傷“心臟出血”描述事件的嚴(yán)重性。該漏洞是由Codenomicon和谷歌安全部門的研究人員獨(dú)立發(fā)現(xiàn)的。不過據(jù)外媒報(bào)道，為了將影響降到最低，研究人員已經(jīng)與OpenSSL團(tuán)隊(duì)和其他關(guān)鍵的內(nèi)部人士展開了合作，在公佈該問題前就已經(jīng)準(zhǔn)備好修復(fù)方案。

　　OpenSSL是為網(wǎng)路通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，囊括了主要的密碼演算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議，各大網(wǎng)銀、線上支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站上廣泛使用。知道創(chuàng)宇網(wǎng)站安全部總監(jiān)余弦將OpenSSL形容為“網(wǎng)際網(wǎng)路上銷量最大的門鎖”。此次爆出的這個漏洞，則讓特定版本的OpenSSL成為無需鑰匙即可開啟的廢鎖，入侵者每次可以翻檢戶主的64K資訊，只要有足夠的耐心和時間，他可以翻檢足夠多的數(shù)據(jù)，拼湊出戶主的銀行密碼、私信等敏感數(shù)據(jù)。

　　“簡單識別網(wǎng)站應(yīng)用是否採用SSL加密，只需要看瀏覽器地址欄是http，還是https，後者就是用SSL加密的。通常是非常關(guān)鍵的網(wǎng)路服務(wù)，比如郵箱、支付、銀行。”金山毒霸安全專家李鐵軍説。

　　“有這樣千載難逢的機(jī)會，駭客們是捨不得睡覺的。他們會想盡辦法多獲取一些伺服器上的資訊。”360公司技術(shù)副總裁譚曉生説。

　　□影響

　　網(wǎng)際網(wǎng)路安全大地震

　　“這是近兩年來最嚴(yán)重的一次網(wǎng)路安全危機(jī)。”360公司技術(shù)副總裁譚曉生評價，在以https開頭的網(wǎng)站中，初步評估有不少於30%的網(wǎng)站中招，其中包括大家最常用的購物、網(wǎng)銀、社交、門戶等知名網(wǎng)站，而在手機(jī)APP的網(wǎng)銀客戶端中，則有至少50%存在風(fēng)險(xiǎn)。

　　據(jù)南京翰海源資訊技術(shù)有限公司創(chuàng)始人方興介紹，通俗來講，通過這個漏洞，可以洩露以下四方面內(nèi)容：一是私鑰，所有https站點(diǎn)的加密內(nèi)容全能破解；二是網(wǎng)站用戶密碼，用戶資産如網(wǎng)銀隱私數(shù)據(jù)被盜取；三是伺服器配置和源碼，伺服器可以被攻破；四是伺服器掛掉不能提供服務(wù)。

　　一位安全行業(yè)人士透露，他在某著名電商網(wǎng)站上用這個漏洞嘗試讀取數(shù)據(jù)，在讀取200次後，獲得了40多個用戶名、7個密碼，用這些密碼，他成功地登錄了該網(wǎng)站。

　　昨天下午，來自知道創(chuàng)宇ZoomEye網(wǎng)路空間搜索引擎的監(jiān)控顯示，國內(nèi)有22611臺主機(jī)受影響，而前天這個數(shù)字是33303，可以看到情況正在好轉(zhuǎn)，超過30%的主機(jī)已經(jīng)修復(fù)。

　　“漏洞被挖掘出來以後，帶來的危害並不會非常快地顯現(xiàn)。”瑞星安全專家唐威告訴記者，現(xiàn)階段企業(yè)層面能做的也是對使用的OpenSSL進(jìn)行排查和升級。

　　不過，昨天也有業(yè)內(nèi)人士稱，這個漏洞其實(shí)並沒那麼可怕，因?yàn)檫@是一個舊版本OpenSSL的安全漏洞，開發(fā)者把伺服器程式升級到OpenSSL1.0.1g就可以解決。

　　□回應(yīng)

　　銀行銀聯(lián)支付不受影響

　　對於OpenSSL的漏洞，有傳言稱即便是銀行網(wǎng)上支付、U盾、銀聯(lián)支付也都並不安全。不過，業(yè)內(nèi)人士昨天向記者坦言，該漏洞對銀行網(wǎng)上支付、銀行U盾使用及銀聯(lián)的影響幾乎為零。

　　中國金融認(rèn)證中心應(yīng)用開發(fā)部總經(jīng)理林峰表示，OpenSSL的這個漏洞是由於代碼實(shí)現(xiàn)不嚴(yán)謹(jǐn)造成的。這個漏洞存在於OpenSSL1.0.1系列版本中，之前的OpenSSL版本不受影響。天貓、淘寶使用的正是這個系列的版本，所以可以竊取到記憶體中的數(shù)據(jù)。

　　“如果銀行使用了帶有該漏洞的OpenSSL開源軟體版本，會有一定的影響。但是這個漏洞只是竊取記憶體中的數(shù)據(jù)，銀行的用戶密碼還有一重加密保護(hù)，一般不會在SSL伺服器解密，所以也就很難拿到銀行用戶的密碼。”

　　林峰還表示，其實(shí)這個OpenSSL的漏洞和U盾的安全性沒有什麼聯(lián)繫，因?yàn)橛脩舻慕灰酌舾匈Y訊是通過USB介面送入U(xiǎn)盾後，在U盾內(nèi)部進(jìn)行加密和數(shù)字簽名運(yùn)算，SSL協(xié)議是對U盾加密簽名後的數(shù)據(jù)再進(jìn)行一次傳輸層的加密。這次OpenSSL的漏洞對U盾沒有影響。

　　此外，中國銀聯(lián)相關(guān)負(fù)責(zé)人昨天也回應(yīng)稱，銀聯(lián)核心跨行交易系統(tǒng)運(yùn)營基於專用網(wǎng)路，與漏洞事件無關(guān)。該負(fù)責(zé)人稱，“銀聯(lián)線上支付”等基於網(wǎng)際網(wǎng)路的創(chuàng)新業(yè)務(wù)系統(tǒng)並未使用OpenSSL技術(shù)，對於個別週邊供應(yīng)商可能存在的OpenSSL漏洞，銀聯(lián)已通過主動排查，在烏雲(yún)網(wǎng)等技術(shù)人士公開漏洞事件前就已協(xié)調(diào)供應(yīng)商消除了隱患，持卡人可以放心使用。

　　微軟百度稱未受影響

　　昨天，微軟中國方面向記者回應(yīng)稱，沒有任何微軟産品受到此漏洞的影響。OpenSSL是開源用以實(shí)現(xiàn)SSL協(xié)議的産品，微軟並沒有在旗下産品和服務(wù)中使用此開源的解決方案。據(jù)悉，多數(shù)商業(yè)公司使用的SSL加密都是付費(fèi)的，與本次暴露出漏洞的OpenSSL關(guān)係不大。

　　百度方面也表示，百度錢包不受影響。

　　電商噹噹網(wǎng)表示，噹噹網(wǎng)固有的賬戶體系非常安全，消費(fèi)者可放心購物。

　　盛大方面表示，盛大通行證的認(rèn)證主要是通過硬體加密等方式來使用https協(xié)議，目前已經(jīng)和供應(yīng)商確認(rèn)過，一方面所使用的OpenSSL版本不是會受影響，另一方面針對有可能出現(xiàn)的安全隱患，已在第一時間通過升級進(jìn)行了處理。

　　阿裏京東回應(yīng)已修復(fù)

　　昨天早上，此次漏洞事件引發(fā)最多泄密擔(dān)憂的阿裏係急忙表示漏洞已經(jīng)修復(fù)。阿裏安全回應(yīng)稱，關(guān)於OpenSSL某些版本存在基於基礎(chǔ)協(xié)議的通用漏洞，阿裏各網(wǎng)站已經(jīng)在第一時間進(jìn)行了修復(fù)處理，目前已經(jīng)處理完畢，包括淘寶、天貓、支付寶等各大網(wǎng)站都確認(rèn)可以放心使用。其中淘寶方面還透露，從目前監(jiān)控的情況來看，未發(fā)現(xiàn)賬戶異常。

　　京東則表示，已于昨天完成了修補(bǔ)處理，避免了這次漏洞的侵襲。

　　騰訊昨天早上也發(fā)聲明稱，騰訊已在第一時間進(jìn)行處理，目前相關(guān)的産品業(yè)務(wù)如郵箱、財(cái)付通、QQ、微信等都已經(jīng)修復(fù)完畢。

　　網(wǎng)易郵箱方面告訴記者，烏雲(yún)報(bào)告提到的網(wǎng)易郵箱OpenSSL漏洞，經(jīng)過網(wǎng)易郵箱查證，所列域名都是指向了CDN(內(nèi)容分發(fā)網(wǎng)路)服務(wù)，收到報(bào)告後網(wǎng)易郵箱第一時間反饋給CDN服務(wù)商，當(dāng)晚已經(jīng)修復(fù)。

　　此外，全球網(wǎng)際網(wǎng)路巨頭雅虎、谷歌和Facebook也紛紛表示已修復(fù)漏洞。谷歌表示：“我們已經(jīng)評估了SSL漏洞，並且給谷歌的關(guān)鍵服務(wù)打上了補(bǔ)丁。”

　　誰能利用“心臟出血”漏洞？

　　“對於了解這項(xiàng)漏洞的人，要對其加以利用並不困難。”普林斯頓大學(xué)電腦科學(xué)家菲爾騰説。利用這項(xiàng)漏洞的軟體在網(wǎng)上有很多，雖然這些軟體並不像iPad應(yīng)用那麼容易使用，但任何擁有基本編程技能的人都能學(xué)會它的使用方法。

　　當(dāng)然，這項(xiàng)漏洞對情報(bào)機(jī)構(gòu)的價值或許最大，他們擁有足夠的基礎(chǔ)設(shè)施來對用戶流量展開大規(guī)模攔截。

　　□消費(fèi)者應(yīng)對

　　網(wǎng)站修復(fù)漏洞後用戶需修改密碼

　　360公司技術(shù)副總裁譚曉生建議，在4月7日和8日兩天登錄過存在漏洞的網(wǎng)站的網(wǎng)友，首先需要確認(rèn)曾經(jīng)登錄的網(wǎng)站是否已經(jīng)進(jìn)行了升級修復(fù)，可看該網(wǎng)站是否發(fā)佈相關(guān)的公告，也可通過360網(wǎng)站衛(wèi)士推出的OpenSSL漏洞線上檢查工具，輸入網(wǎng)址檢測網(wǎng)站是否存在該漏洞。如果相關(guān)網(wǎng)站已完成了修復(fù)，則用戶需要將使用過的用戶名、密碼等個人資訊進(jìn)行修改；如果登錄過的網(wǎng)站仍然未能完成修復(fù)，“那很遺憾，用戶只有坐等對方修復(fù)。”

　　金山毒霸安全專家李鐵軍表示，對重要服務(wù)，要盡可能開通手機(jī)驗(yàn)證或動態(tài)密碼，比如支付寶、郵箱等。

　　“針對OpenSSL漏洞，駭客的攻擊方式是不斷發(fā)動數(shù)據(jù)包攻擊，每次攻擊能夠從伺服器記憶體上得到大小為64K的數(shù)據(jù)，不過獲得的數(shù)據(jù)是零散無序的，駭客想要獲得真正有用的資訊，需要把累計(jì)獲得的數(shù)據(jù)進(jìn)行整理分析，這需要一個時間過程，因此，在這兩天內(nèi)及時完成密碼修改，就不會有太大的問題。”譚曉生提醒説，不過，即便網(wǎng)站完成修復(fù)，也並不意味著天下太平了，未來是否有新的危險(xiǎn)還不得而知。

　　此外，在網(wǎng)站漏洞修復(fù)前，不要網(wǎng)購或網(wǎng)上支付，以免受到損失。一個密碼的使用時間不宜過長，超過3個月就該換掉了。

　　什麼是SSL？

　　SSL是一種流行的加密技術(shù)，可以保護(hù)用戶通過網(wǎng)際網(wǎng)路傳輸?shù)碾[私資訊。網(wǎng)站採用此加密技術(shù)後，第三方無法讀取你與該網(wǎng)站之間的任何通訊資訊。在後臺，通過SSL加密的數(shù)據(jù)只有接收者才能解密。

　　SSL最早在1994年由網(wǎng)景推出，1990年代以來已經(jīng)被所有主流瀏覽器採納。

　　什麼是“心臟出血”漏洞？

　　SSL標(biāo)準(zhǔn)包含一個心跳選項(xiàng)，允許SSL連接一端的電腦發(fā)出一條簡短的資訊，確認(rèn)另一端的電腦仍然線上，並獲取反饋。研究人員發(fā)現(xiàn)，可以通過巧妙的手段發(fā)出惡意心跳資訊，欺騙另一端的電腦洩露機(jī)密資訊。受影響的電腦可能會因此而被騙，併發(fā)送伺服器記憶體中的資訊。

　　誰發(fā)現(xiàn)的這個問題？

　　該漏洞是由Codenomicon和谷歌安全部門的研究人員獨(dú)立發(fā)現(xiàn)的。為了將影響降到最低，研究人員已經(jīng)與OpenSSL團(tuán)隊(duì)和其他關(guān)鍵的內(nèi)部人士展開了合作，在公佈該問題前就已經(jīng)準(zhǔn)備好修復(fù)方案。