“心臟出血”：OpenSSL的源代碼中存在一個(gè)漏洞，可以讓攻擊者獲得伺服器上64K記憶體中的數(shù)據(jù)內(nèi)容。這部分?jǐn)?shù)據(jù)中，可能存有安全證書、用戶名與密碼等數(shù)據(jù)。 OpenSSL：是目前網(wǎng)際網(wǎng)路上應(yīng)用最廣泛的安全傳輸方法。可以形象地説，它是網(wǎng)際網(wǎng)路上銷量最大的門鎖。

　　導(dǎo)讀：OpenSSL日前被曝出本年度最危險(xiǎn)的安全漏洞，初步評(píng)估有不少於30%的網(wǎng)站中招，其中包括網(wǎng)友們最常用的購(gòu)物、網(wǎng)銀、社交、門戶等知名網(wǎng)站和服務(wù)。利用這一被命名為“心臟出血”的漏洞，駭客可以獲取到以https開頭網(wǎng)址的用戶登錄賬號(hào)和密碼、cookie等敏感數(shù)據(jù)。“心臟出血”漏洞將影響至少兩億中國(guó)網(wǎng)民。

　　事件·影響

　　3萬(wàn)多個(gè)網(wǎng)站主機(jī)受威脅

　　事實(shí)上，最新的調(diào)查顯示，4月7日淩晨，國(guó)內(nèi)就出現(xiàn)了針對(duì)OpenSSL“心臟出血”漏洞的駭客攻擊跡象。360網(wǎng)站安全檢測(cè)平臺(tái)對(duì)國(guó)內(nèi)120萬(wàn)家經(jīng)過(guò)授權(quán)的網(wǎng)站掃描，其中有3萬(wàn)多個(gè)網(wǎng)站主機(jī)受漏洞影響。4月7日、4月8日期間，共計(jì)約2億網(wǎng)友訪問(wèn)了存在漏洞的網(wǎng)站。

　　360安全專家石曉虹博士表示，“心臟出血”漏洞堪稱“網(wǎng)路核彈”，初步評(píng)估一批https登錄方式的主流網(wǎng)站，有不少於30%的網(wǎng)站中招，其中包括網(wǎng)銀、網(wǎng)購(gòu)、網(wǎng)上支付、郵箱、門戶、微信、微博等知名網(wǎng)站和服務(wù)。無(wú)論用戶電腦多麼安全，只要網(wǎng)站使用了存在漏洞的OpenSSL版本，用戶登錄該網(wǎng)站時(shí)就可能被駭客實(shí)時(shí)監(jiān)控到登錄賬號(hào)和密碼。

　　北京青年報(bào)記者了解到，駭客獲取的是離記憶體最近的64K字節(jié)的內(nèi)容，大概是六萬(wàn)多個(gè)字。這其中很可能包含用戶隱私資訊，甚至網(wǎng)站密鑰。

　　網(wǎng)路安全專家、南京翰海源資訊技術(shù)有限公司創(chuàng)始人方興表示，通過(guò)這個(gè)漏洞，可以洩露以下四方面內(nèi)容：一是私鑰，所有https站點(diǎn)的加密內(nèi)容全能破解；二是網(wǎng)站用戶密碼，用戶資産如網(wǎng)銀隱私數(shù)據(jù)被盜取；三是伺服器配置和源碼，伺服器可以被攻破；四是伺服器“掛掉”不能提供服務(wù)。

　　百度錢包也發(fā)佈聲明稱，近日，OpenSSL漏洞已排山倒海向網(wǎng)際網(wǎng)路安全界襲來(lái)，攻擊者可持續(xù)讀取伺服器記憶體數(shù)據(jù)，竊取用戶cookie、密碼等敏感數(shù)據(jù)，已確定1.0.1—1.0.1f、1.0.2beta1版本均在此列。

　　事件·最新

　　清華等高校網(wǎng)路發(fā)現(xiàn)OpenSSL漏洞

　　360網(wǎng)站衛(wèi)士的OpenSSL漏洞檢測(cè)平臺(tái)昨天發(fā)現(xiàn)，清華大學(xué)等幾所高校的某項(xiàng)網(wǎng)路服務(wù)存在“心臟出血”漏洞，同時(shí)也監(jiān)測(cè)到了有來(lái)自北京聯(lián)通的一個(gè)IP針對(duì)這些服務(wù)進(jìn)行漏洞探測(cè)，360緊急通知相關(guān)高校進(jìn)行修復(fù)。通過(guò)進(jìn)一步分析發(fā)現(xiàn)，某高校的網(wǎng)路服務(wù)存“心臟出血”漏洞源自於其VPN硬體設(shè)備。360提醒用戶，如果通過(guò)檢測(cè)發(fā)現(xiàn)問(wèn)題，可以第一時(shí)間聯(lián)繫硬體設(shè)備提供商，通過(guò)軟體升級(jí)或降級(jí)等方式進(jìn)行修復(fù)。

　　事件·提示

　　登錄網(wǎng)站最好先檢測(cè)是否存漏洞

　　經(jīng)360網(wǎng)路攻防實(shí)驗(yàn)室檢測(cè)發(fā)現(xiàn)，全球開放443端口的主機(jī)共有40041126個(gè)，其中受OpenSSL“心臟出血”漏洞影響的主機(jī)有32335個(gè)。

　　360已經(jīng)第一時(shí)間向12萬(wàn)網(wǎng)站用戶發(fā)送提醒郵件，提醒廣大站長(zhǎng)儘快將OpenSSL升級(jí)至 1.0.1g版本，以修復(fù)該漏洞。

　　為幫助用戶避免相應(yīng)風(fēng)險(xiǎn)，360網(wǎng)站衛(wèi)士推出OpenSSL漏洞線上檢查工具(http://wangzhan.#/heartbleed)，輸入網(wǎng)址就能夠檢測(cè)網(wǎng)站是否存在該漏洞。

　　石曉虹提醒廣大網(wǎng)際網(wǎng)路服務(wù)商，儘快將OpenSSL升級(jí)至1.0.1g版本進(jìn)行修復(fù)。同時(shí)建議廣大網(wǎng)友，在此漏洞得到修復(fù)前，暫時(shí)不要在受到漏洞影響的網(wǎng)站上登錄賬號(hào)，尤其是對(duì)那些沒(méi)有明確採(cǎi)取補(bǔ)救措施的網(wǎng)站，更應(yīng)該謹(jǐn)慎避免泄密風(fēng)險(xiǎn)。在網(wǎng)站完成修復(fù)升級(jí)後，及時(shí)修改密碼。

　　事件·應(yīng)對(duì)

　　國(guó)內(nèi)網(wǎng)路公司均稱“已修復(fù)”漏洞

　　對(duì)於OpenSSL存在的漏洞，昨天，阿里巴巴、騰訊、百度、360、京東等中國(guó)網(wǎng)際網(wǎng)路公司均表示，已第一時(shí)間對(duì)漏洞進(jìn)行了修復(fù)。

　　騰訊和阿里巴巴均回應(yīng)稱，已在第一時(shí)間對(duì)OpenSSL某些存在基礎(chǔ)協(xié)議通用漏洞的版本進(jìn)行了修復(fù)處理，目前已經(jīng)處理完畢，騰訊包括郵箱、財(cái)付通、QQ、微信等産品和網(wǎng)站，阿裏包括淘寶、天貓、支付寶等各網(wǎng)站都確認(rèn)可以放心使用。

　　阿裏小微金融服務(wù)集團(tuán)(籌)首席風(fēng)險(xiǎn)官胡曉明稱，通過(guò)4月8日一晚上的通宵工作，已經(jīng)完全修復(fù)了OpenSSL出現(xiàn)漏洞後的安全資訊問(wèn)題，並重新回顧了這個(gè)時(shí)間點(diǎn)支付寶加密機(jī)制是否存在問(wèn)題，沒(méi)有發(fā)現(xiàn)任何問(wèn)題。

　　百度錢包稱，在這次風(fēng)暴中未受影響，請(qǐng)大家繼續(xù)安心使用。京東表示，已對(duì)系統(tǒng)全面排查並升級(jí)，目前不建議用戶修改密碼。

　　360公司相關(guān)負(fù)責(zé)人也表示，360歷來(lái)有一個(gè)漏洞檢索機(jī)制，4月8日上午10點(diǎn)28分抓取到了這個(gè)漏洞資訊，立即開始自我評(píng)估，搜索自己哪些伺服器使用了OpenSSL協(xié)議，最後獲得了一個(gè)伺服器列表，一共有100-200臺(tái)伺服器受到影響，然後立刻要求伺服器團(tuán)隊(duì)開始修復(fù)，整個(gè)修復(fù)過(guò)程持續(xù)到4月9日淩晨5點(diǎn)多。

　　事件·後續(xù)

　　技術(shù)專家稱修復(fù)並不意味著安全

　　北京知道創(chuàng)宇資訊技術(shù)有限公司持續(xù)監(jiān)測(cè)發(fā)現(xiàn)，一些公司升級(jí)了OpenSSL；一些公司選擇暫停SSL服務(wù)，仍繼續(xù)使用其主要功能；有的為規(guī)避風(fēng)險(xiǎn)，乾脆暫停網(wǎng)站全部服務(wù)；更有一部分根本沒(méi)有採(cǎi)取任何措施。

　　對(duì)於以上公司的處理方式，方興認(rèn)為，相對(duì)於當(dāng)前可能出現(xiàn)的資訊泄密和財(cái)産損失，其影響將是持久深遠(yuǎn)的，並不是此次修復(fù)漏洞後就安全了，攻擊者還可以利用獲得的數(shù)據(jù)進(jìn)行更大程度上的破壞。

　　一位安全行業(yè)人士透露，他在某著名電商網(wǎng)站上用這個(gè)漏洞嘗試讀取數(shù)據(jù)，在讀取200次後，獲得了40多個(gè)用戶名、7個(gè)密碼，用這些密碼，他成功地登錄了該網(wǎng)站。

　　事件·觀察

　　國(guó)家級(jí)應(yīng)急響應(yīng)亟待優(yōu)化

　　對(duì)於此次OpenSSL漏洞給中國(guó)網(wǎng)際網(wǎng)路企業(yè)帶來(lái)的系統(tǒng)性風(fēng)險(xiǎn)，有專家指出，出於安全考慮，政府有關(guān)職能部門應(yīng)在第一時(shí)間向全國(guó)發(fā)出警報(bào)。但從目前反應(yīng)出的情況來(lái)看，我國(guó)重大安全事件的緊急處置及聯(lián)動(dòng)機(jī)制還不夠健全。

　　國(guó)家應(yīng)急中心一位負(fù)責(zé)人也指出，我國(guó)從2003年起，就開始試圖建立漏洞觸發(fā)機(jī)制，但這一塊工作的細(xì)化和操作在實(shí)踐層面還缺乏清晰的路徑。

　　中國(guó)電腦學(xué)會(huì)資訊安全專業(yè)委員會(huì)主任嚴(yán)明認(rèn)為，對(duì)於政府職能部門，目前公安或者其他相關(guān)部門應(yīng)當(dāng)立即啟動(dòng)應(yīng)急措施，促進(jìn)通報(bào)漏洞資訊，並強(qiáng)制推動(dòng)所有受到漏洞影響的網(wǎng)站進(jìn)行技術(shù)升級(jí)和修補(bǔ)。在這一階段完成後，再對(duì)那些出現(xiàn)了財(cái)産侵佔(zhàn)的非法行為進(jìn)行查處追責(zé)。

　　對(duì)於企業(yè)而言，則要第一時(shí)間做出反應(yīng)，修補(bǔ)自身漏洞，比如該漏洞8日被公佈，一些企業(yè)到了9日才開始補(bǔ)救，一些甚至還無(wú)動(dòng)於衷。

　　本版