4月8日外媒爆出，研究人員發(fā)現(xiàn)OpenSSL漏洞遍及全球網(wǎng)際網(wǎng)路公司，併為其起了個(gè)形象的名字“心臟出血”，中國(guó)超過(guò)3萬(wàn)臺(tái)主機(jī)受波及，國(guó)內(nèi)網(wǎng)站和安全廠商技術(shù)人員為檢查、搶修徹夜未眠。截至昨天，有超30%的主機(jī)已經(jīng)修復(fù)，“大站”紛紛表示安全，但技術(shù)人士稱(chēng)，消費(fèi)者敏感資訊是否洩露還有待日後觀察。

　　京華時(shí)報(bào)記者廖豐古曉宇祝劍禾顧夢(mèng)琳高晨京華時(shí)報(bào)製圖何將

　　□事件

　　OpenSSL漏洞曝光

　　4月8日，OpenSSL的大漏洞曝光，外國(guó)駭客將其命名為“heartbleed”，用最致命的內(nèi)傷“心臟出血”描述事件的嚴(yán)重性。該漏洞是由Codenomicon和谷歌安全部門(mén)的研究人員獨(dú)立發(fā)現(xiàn)的。不過(guò)據(jù)外媒報(bào)道，為了將影響降到最低，研究人員已經(jīng)與OpenSSL團(tuán)隊(duì)和其他關(guān)鍵的內(nèi)部人士展開(kāi)了合作，在公佈該問(wèn)題前就已經(jīng)準(zhǔn)備好修復(fù)方案。

　　OpenSSL是為網(wǎng)路通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，囊括了主要的密碼演算法、常用的密鑰和證書(shū)封裝管理功能以及SSL協(xié)議，各大網(wǎng)銀、線(xiàn)上支付、電商網(wǎng)站、門(mén)戶(hù)網(wǎng)站、電子郵件等重要網(wǎng)站上廣泛使用。知道創(chuàng)宇網(wǎng)站安全部總監(jiān)余弦將OpenSSL形容為“網(wǎng)際網(wǎng)路上銷(xiāo)量最大的門(mén)鎖”。此次爆出的這個(gè)漏洞，則讓特定版本的OpenSSL成為無(wú)需鑰匙即可開(kāi)啟的廢鎖，入侵者每次可以翻檢戶(hù)主的64K資訊，只要有足夠的耐心和時(shí)間，他可以翻檢足夠多的數(shù)據(jù)，拼湊出戶(hù)主的銀行密碼、私信等敏感數(shù)據(jù)。

　　“簡(jiǎn)單識(shí)別網(wǎng)站應(yīng)用是否採(cǎi)用SSL加密，只需要看瀏覽器地址欄是http，還是https，後者就是用SSL加密的。通常是非常關(guān)鍵的網(wǎng)路服務(wù)，比如郵箱、支付、銀行。”金山毒霸安全專(zhuān)家李鐵軍説。

　　“有這樣千載難逢的機(jī)會(huì)，駭客們是捨不得睡覺(jué)的。他們會(huì)想盡辦法多獲取一些伺服器上的資訊。”360公司技術(shù)副總裁譚曉生説。

　　□影響

　　網(wǎng)際網(wǎng)路安全大地震

　　“這是近兩年來(lái)最嚴(yán)重的一次網(wǎng)路安全危機(jī)。”360公司技術(shù)副總裁譚曉生評(píng)價(jià)，在以https開(kāi)頭的網(wǎng)站中，初步評(píng)估有不少於30%的網(wǎng)站中招，其中包括大家最常用的購(gòu)物、網(wǎng)銀、社交、門(mén)戶(hù)等知名網(wǎng)站，而在手機(jī)APP的網(wǎng)銀客戶(hù)端中，則有至少50%存在風(fēng)險(xiǎn)。

　　據(jù)南京翰海源資訊技術(shù)有限公司創(chuàng)始人方興介紹，通俗來(lái)講，通過(guò)這個(gè)漏洞，可以洩露以下四方面內(nèi)容：一是私鑰，所有https站點(diǎn)的加密內(nèi)容全能破解；二是網(wǎng)站用戶(hù)密碼，用戶(hù)資産如網(wǎng)銀隱私數(shù)據(jù)被盜取；三是伺服器配置和源碼，伺服器可以被攻破；四是伺服器掛掉不能提供服務(wù)。

　　一位安全行業(yè)人士透露，他在某著名電商網(wǎng)站上用這個(gè)漏洞嘗試讀取數(shù)據(jù)，在讀取200次後，獲得了40多個(gè)用戶(hù)名、7個(gè)密碼，用這些密碼，他成功地登錄了該網(wǎng)站。

　　昨天下午，來(lái)自知道創(chuàng)宇ZoomEye網(wǎng)路空間搜索引擎的監(jiān)控顯示，國(guó)內(nèi)有22611臺(tái)主機(jī)受影響，而前天這個(gè)數(shù)字是33303，可以看到情況正在好轉(zhuǎn)，超過(guò)30%的主機(jī)已經(jīng)修復(fù)。

　　“漏洞被挖掘出來(lái)以後，帶來(lái)的危害並不會(huì)非常快地顯現(xiàn)。”瑞星安全專(zhuān)家唐威告訴記者，現(xiàn)階段企業(yè)層面能做的也是對(duì)使用的OpenSSL進(jìn)行排查和升級(jí)。

　　不過(guò)，昨天也有業(yè)內(nèi)人士稱(chēng)，這個(gè)漏洞其實(shí)並沒(méi)那麼可怕，因?yàn)檫@是一個(gè)舊版本OpenSSL的安全漏洞，開(kāi)發(fā)者把伺服器程式升級(jí)到OpenSSL1.0.1g就可以解決。

　　□回應(yīng)

　　銀行銀聯(lián)支付不受影響

　　對(duì)於OpenSSL的漏洞，有傳言稱(chēng)即便是銀行網(wǎng)上支付、U盾、銀聯(lián)支付也都並不安全。不過(guò)，業(yè)內(nèi)人士昨天向記者坦言，該漏洞對(duì)銀行網(wǎng)上支付、銀行U盾使用及銀聯(lián)的影響幾乎為零。

　　中國(guó)金融認(rèn)證中心應(yīng)用開(kāi)發(fā)部總經(jīng)理林峰表示，OpenSSL的這個(gè)漏洞是由於代碼實(shí)現(xiàn)不嚴(yán)謹(jǐn)造成的。這個(gè)漏洞存在於OpenSSL1.0.1系列版本中，之前的OpenSSL版本不受影響。天貓、淘寶使用的正是這個(gè)系列的版本，所以可以竊取到記憶體中的數(shù)據(jù)。

　　“如果銀行使用了帶有該漏洞的OpenSSL開(kāi)源軟體版本，會(huì)有一定的影響。但是這個(gè)漏洞只是竊取記憶體中的數(shù)據(jù)，銀行的用戶(hù)密碼還有一重加密保護(hù)，一般不會(huì)在SSL伺服器解密，所以也就很難拿到銀行用戶(hù)的密碼。”

　　林峰還表示，其實(shí)這個(gè)OpenSSL的漏洞和U盾的安全性沒(méi)有什麼聯(lián)繫，因?yàn)橛脩?hù)的交易敏感資訊是通過(guò)USB介面送入U(xiǎn)盾後，在U盾內(nèi)部進(jìn)行加密和數(shù)字簽名運(yùn)算，SSL協(xié)議是對(duì)U盾加密簽名後的數(shù)據(jù)再進(jìn)行一次傳輸層的加密。這次OpenSSL的漏洞對(duì)U盾沒(méi)有影響。

　　此外，中國(guó)銀聯(lián)相關(guān)負(fù)責(zé)人昨天也回應(yīng)稱(chēng)，銀聯(lián)核心跨行交易系統(tǒng)運(yùn)營(yíng)基於專(zhuān)用網(wǎng)路，與漏洞事件無(wú)關(guān)。該負(fù)責(zé)人稱(chēng)，“銀聯(lián)線(xiàn)上支付”等基於網(wǎng)際網(wǎng)路的創(chuàng)新業(yè)務(wù)系統(tǒng)並未使用OpenSSL技術(shù)，對(duì)於個(gè)別週邊供應(yīng)商可能存在的OpenSSL漏洞，銀聯(lián)已通過(guò)主動(dòng)排查，在烏雲(yún)網(wǎng)等技術(shù)人士公開(kāi)漏洞事件前就已協(xié)調(diào)供應(yīng)商消除了隱患，持卡人可以放心使用。

　　微軟百度稱(chēng)未受影響

　　昨天，微軟中國(guó)方面向記者回應(yīng)稱(chēng)，沒(méi)有任何微軟産品受到此漏洞的影響。OpenSSL是開(kāi)源用以實(shí)現(xiàn)SSL協(xié)議的産品，微軟並沒(méi)有在旗下産品和服務(wù)中使用此開(kāi)源的解決方案。據(jù)悉，多數(shù)商業(yè)公司使用的SSL加密都是付費(fèi)的，與本次暴露出漏洞的OpenSSL關(guān)係不大。

　　百度方面也表示，百度錢(qián)包不受影響。

　　電商噹噹網(wǎng)表示，噹噹網(wǎng)固有的賬戶(hù)體系非常安全，消費(fèi)者可放心購(gòu)物。

　　盛大方面表示，盛大通行證的認(rèn)證主要是通過(guò)硬體加密等方式來(lái)使用https協(xié)議，目前已經(jīng)和供應(yīng)商確認(rèn)過(guò)，一方面所使用的OpenSSL版本不是會(huì)受影響，另一方面針對(duì)有可能出現(xiàn)的安全隱患，已在第一時(shí)間通過(guò)升級(jí)進(jìn)行了處理。

　　阿裏京東回應(yīng)已修復(fù)

　　昨天早上，此次漏洞事件引發(fā)最多泄密擔(dān)憂(yōu)的阿裏係急忙表示漏洞已經(jīng)修復(fù)。阿裏安全回應(yīng)稱(chēng)，關(guān)於OpenSSL某些版本存在基於基礎(chǔ)協(xié)議的通用漏洞，阿裏各網(wǎng)站已經(jīng)在第一時(shí)間進(jìn)行了修復(fù)處理，目前已經(jīng)處理完畢，包括淘寶、天貓、支付寶等各大網(wǎng)站都確認(rèn)可以放心使用。其中淘寶方面還透露，從目前監(jiān)控的情況來(lái)看，未發(fā)現(xiàn)賬戶(hù)異常。

　　京東則表示，已于昨天完成了修補(bǔ)處理，避免了這次漏洞的侵襲。

　　騰訊昨天早上也發(fā)聲明稱(chēng)，騰訊已在第一時(shí)間進(jìn)行處理，目前相關(guān)的産品業(yè)務(wù)如郵箱、財(cái)付通、QQ、微信等都已經(jīng)修復(fù)完畢。

　　網(wǎng)易郵箱方面告訴記者，烏雲(yún)報(bào)告提到的網(wǎng)易郵箱OpenSSL漏洞，經(jīng)過(guò)網(wǎng)易郵箱查證，所列域名都是指向了CDN(內(nèi)容分發(fā)網(wǎng)路)服務(wù)，收到報(bào)告後網(wǎng)易郵箱第一時(shí)間反饋給CDN服務(wù)商，當(dāng)晚已經(jīng)修復(fù)。

　　此外，全球網(wǎng)際網(wǎng)路巨頭雅虎、谷歌和Facebook也紛紛表示已修復(fù)漏洞。谷歌表示：“我們已經(jīng)評(píng)估了SSL漏洞，並且給谷歌的關(guān)鍵服務(wù)打上了補(bǔ)丁。”

　　誰(shuí)能利用“心臟出血”漏洞？

　　“對(duì)於了解這項(xiàng)漏洞的人，要對(duì)其加以利用並不困難。”普林斯頓大學(xué)電腦科學(xué)家菲爾騰説。利用這項(xiàng)漏洞的軟體在網(wǎng)上有很多，雖然這些軟體並不像iPad應(yīng)用那麼容易使用，但任何擁有基本編程技能的人都能學(xué)會(huì)它的使用方法。

　　當(dāng)然，這項(xiàng)漏洞對(duì)情報(bào)機(jī)構(gòu)的價(jià)值或許最大，他們擁有足夠的基礎(chǔ)設(shè)施來(lái)對(duì)用戶(hù)流量展開(kāi)大規(guī)模攔截。

　　□消費(fèi)者應(yīng)對(duì)

　　網(wǎng)站修復(fù)漏洞後用戶(hù)需修改密碼

　　360公司技術(shù)副總裁譚曉生建議，在4月7日和8日兩天登錄過(guò)存在漏洞的網(wǎng)站的網(wǎng)友，首先需要確認(rèn)曾經(jīng)登錄的網(wǎng)站是否已經(jīng)進(jìn)行了升級(jí)修復(fù)，可看該網(wǎng)站是否發(fā)佈相關(guān)的公告，也可通過(guò)360網(wǎng)站衛(wèi)士推出的OpenSSL漏洞線(xiàn)上檢查工具，輸入網(wǎng)址檢測(cè)網(wǎng)站是否存在該漏洞。如果相關(guān)網(wǎng)站已完成了修復(fù)，則用戶(hù)需要將使用過(guò)的用戶(hù)名、密碼等個(gè)人資訊進(jìn)行修改；如果登錄過(guò)的網(wǎng)站仍然未能完成修復(fù)，“那很遺憾，用戶(hù)只有坐等對(duì)方修復(fù)。”

　　金山毒霸安全專(zhuān)家李鐵軍表示，對(duì)重要服務(wù)，要盡可能開(kāi)通手機(jī)驗(yàn)證或動(dòng)態(tài)密碼，比如支付寶、郵箱等。

　　“針對(duì)OpenSSL漏洞，駭客的攻擊方式是不斷發(fā)動(dòng)數(shù)據(jù)包攻擊，每次攻擊能夠從伺服器記憶體上得到大小為64K的數(shù)據(jù)，不過(guò)獲得的數(shù)據(jù)是零散無(wú)序的，駭客想要獲得真正有用的資訊，需要把累計(jì)獲得的數(shù)據(jù)進(jìn)行整理分析，這需要一個(gè)時(shí)間過(guò)程，因此，在這兩天內(nèi)及時(shí)完成密碼修改，就不會(huì)有太大的問(wèn)題。”譚曉生提醒説，不過(guò)，即便網(wǎng)站完成修復(fù)，也並不意味著天下太平了，未來(lái)是否有新的危險(xiǎn)還不得而知。

　　此外，在網(wǎng)站漏洞修復(fù)前，不要網(wǎng)購(gòu)或網(wǎng)上支付，以免受到損失。一個(gè)密碼的使用時(shí)間不宜過(guò)長(zhǎng)，超過(guò)3個(gè)月就該換掉了。

　　什麼是SSL？

　　SSL是一種流行的加密技術(shù)，可以保護(hù)用戶(hù)通過(guò)網(wǎng)際網(wǎng)路傳輸?shù)碾[私資訊。網(wǎng)站採(cǎi)用此加密技術(shù)後，第三方無(wú)法讀取你與該網(wǎng)站之間的任何通訊資訊。在後臺(tái)，通過(guò)SSL加密的數(shù)據(jù)只有接收者才能解密。

　　SSL最早在1994年由網(wǎng)景推出，1990年代以來(lái)已經(jīng)被所有主流瀏覽器採(cǎi)納。

　　什麼是“心臟出血”漏洞？

　　SSL標(biāo)準(zhǔn)包含一個(gè)心跳選項(xiàng)，允許SSL連接一端的電腦發(fā)出一條簡(jiǎn)短的資訊，確認(rèn)另一端的電腦仍然線(xiàn)上，並獲取反饋。研究人員發(fā)現(xiàn)，可以通過(guò)巧妙的手段發(fā)出惡意心跳資訊，欺騙另一端的電腦洩露機(jī)密資訊。受影響的電腦可能會(huì)因此而被騙，併發(fā)送伺服器記憶體中的資訊。

　　誰(shuí)發(fā)現(xiàn)的這個(gè)問(wèn)題？

　　該漏洞是由Codenomicon和谷歌安全部門(mén)的研究人員獨(dú)立發(fā)現(xiàn)的。為了將影響降到最低，研究人員已經(jīng)與OpenSSL團(tuán)隊(duì)和其他關(guān)鍵的內(nèi)部人士展開(kāi)了合作，在公佈該問(wèn)題前就已經(jīng)準(zhǔn)備好修復(fù)方案。