“心臟出血”：OpenSSL的源代碼中存在一個漏洞，可以讓攻擊者獲得伺服器上64K記憶體中的數(shù)據(jù)內容。這部分數(shù)據(jù)中，可能存有安全證書、用戶名與密碼等數(shù)據(jù)。 OpenSSL：是目前網(wǎng)際網(wǎng)路上應用最廣泛的安全傳輸方法。可以形象地説，它是網(wǎng)際網(wǎng)路上銷量最大的門鎖。

　　導讀：OpenSSL日前被曝出本年度最危險的安全漏洞，初步評估有不少於30%的網(wǎng)站中招，其中包括網(wǎng)友們最常用的購物、網(wǎng)銀、社交、門戶等知名網(wǎng)站和服務。利用這一被命名為“心臟出血”的漏洞，駭客可以獲取到以https開頭網(wǎng)址的用戶登錄賬號和密碼、cookie等敏感數(shù)據(jù)。“心臟出血”漏洞將影響至少兩億中國網(wǎng)民。

　　事件·影響

　　3萬多個網(wǎng)站主機受威脅

　　事實上，最新的調查顯示，4月7日淩晨，國內就出現(xiàn)了針對OpenSSL“心臟出血”漏洞的駭客攻擊跡象。360網(wǎng)站安全檢測平臺對國內120萬家經(jīng)過授權的網(wǎng)站掃描，其中有3萬多個網(wǎng)站主機受漏洞影響。4月7日、4月8日期間，共計約2億網(wǎng)友訪問了存在漏洞的網(wǎng)站。

　　360安全專家石曉虹博士表示，“心臟出血”漏洞堪稱“網(wǎng)路核彈”，初步評估一批https登錄方式的主流網(wǎng)站，有不少於30%的網(wǎng)站中招，其中包括網(wǎng)銀、網(wǎng)購、網(wǎng)上支付、郵箱、門戶、微信、微博等知名網(wǎng)站和服務。無論用戶電腦多麼安全，只要網(wǎng)站使用了存在漏洞的OpenSSL版本，用戶登錄該網(wǎng)站時就可能被駭客實時監(jiān)控到登錄賬號和密碼。

　　北京青年報記者了解到，駭客獲取的是離記憶體最近的64K字節(jié)的內容，大概是六萬多個字。這其中很可能包含用戶隱私資訊，甚至網(wǎng)站密鑰。

　　網(wǎng)路安全專家、南京翰海源資訊技術有限公司創(chuàng)始人方興表示，通過這個漏洞，可以洩露以下四方面內容：一是私鑰，所有https站點的加密內容全能破解；二是網(wǎng)站用戶密碼，用戶資産如網(wǎng)銀隱私數(shù)據(jù)被盜取；三是伺服器配置和源碼，伺服器可以被攻破；四是伺服器“掛掉”不能提供服務。

　　百度錢包也發(fā)佈聲明稱，近日，OpenSSL漏洞已排山倒海向網(wǎng)際網(wǎng)路安全界襲來，攻擊者可持續(xù)讀取伺服器記憶體數(shù)據(jù)，竊取用戶cookie、密碼等敏感數(shù)據(jù)，已確定1.0.1—1.0.1f、1.0.2beta1版本均在此列。

　　事件·最新

　　清華等高校網(wǎng)路發(fā)現(xiàn)OpenSSL漏洞

　　360網(wǎng)站衛(wèi)士的OpenSSL漏洞檢測平臺昨天發(fā)現(xiàn)，清華大學等幾所高校的某項網(wǎng)路服務存在“心臟出血”漏洞，同時也監(jiān)測到了有來自北京聯(lián)通的一個IP針對這些服務進行漏洞探測，360緊急通知相關高校進行修復。通過進一步分析發(fā)現(xiàn)，某高校的網(wǎng)路服務存“心臟出血”漏洞源自於其VPN硬體設備。360提醒用戶，如果通過檢測發(fā)現(xiàn)問題，可以第一時間聯(lián)繫硬體設備提供商，通過軟體升級或降級等方式進行修復。

　　事件·提示

　　登錄網(wǎng)站最好先檢測是否存漏洞

　　經(jīng)360網(wǎng)路攻防實驗室檢測發(fā)現(xiàn)，全球開放443端口的主機共有40041126個，其中受OpenSSL“心臟出血”漏洞影響的主機有32335個。

　　360已經(jīng)第一時間向12萬網(wǎng)站用戶發(fā)送提醒郵件，提醒廣大站長儘快將OpenSSL升級至 1.0.1g版本，以修復該漏洞。

　　為幫助用戶避免相應風險，360網(wǎng)站衛(wèi)士推出OpenSSL漏洞線上檢查工具(http://wangzhan.#/heartbleed)，輸入網(wǎng)址就能夠檢測網(wǎng)站是否存在該漏洞。

　　石曉虹提醒廣大網(wǎng)際網(wǎng)路服務商，儘快將OpenSSL升級至1.0.1g版本進行修復。同時建議廣大網(wǎng)友，在此漏洞得到修復前，暫時不要在受到漏洞影響的網(wǎng)站上登錄賬號，尤其是對那些沒有明確採取補救措施的網(wǎng)站，更應該謹慎避免泄密風險。在網(wǎng)站完成修復升級後，及時修改密碼。

　　事件·應對

　　國內網(wǎng)路公司均稱“已修復”漏洞

　　對於OpenSSL存在的漏洞，昨天，阿里巴巴、騰訊、百度、360、京東等中國網(wǎng)際網(wǎng)路公司均表示，已第一時間對漏洞進行了修復。

　　騰訊和阿里巴巴均回應稱，已在第一時間對OpenSSL某些存在基礎協(xié)議通用漏洞的版本進行了修復處理，目前已經(jīng)處理完畢，騰訊包括郵箱、財付通、QQ、微信等産品和網(wǎng)站，阿裏包括淘寶、天貓、支付寶等各網(wǎng)站都確認可以放心使用。

　　阿裏小微金融服務集團(籌)首席風險官胡曉明稱，通過4月8日一晚上的通宵工作，已經(jīng)完全修復了OpenSSL出現(xiàn)漏洞後的安全資訊問題，並重新回顧了這個時間點支付寶加密機制是否存在問題，沒有發(fā)現(xiàn)任何問題。

　　百度錢包稱，在這次風暴中未受影響，請大家繼續(xù)安心使用。京東表示，已對系統(tǒng)全面排查並升級，目前不建議用戶修改密碼。

　　360公司相關負責人也表示，360歷來有一個漏洞檢索機制，4月8日上午10點28分抓取到了這個漏洞資訊，立即開始自我評估，搜索自己哪些伺服器使用了OpenSSL協(xié)議，最後獲得了一個伺服器列表，一共有100-200臺伺服器受到影響，然後立刻要求伺服器團隊開始修復，整個修復過程持續(xù)到4月9日淩晨5點多。

　　事件·後續(xù)

　　技術專家稱修復並不意味著安全

　　北京知道創(chuàng)宇資訊技術有限公司持續(xù)監(jiān)測發(fā)現(xiàn)，一些公司升級了OpenSSL；一些公司選擇暫停SSL服務，仍繼續(xù)使用其主要功能；有的為規(guī)避風險，乾脆暫停網(wǎng)站全部服務；更有一部分根本沒有採取任何措施。

　　對於以上公司的處理方式，方興認為，相對於當前可能出現(xiàn)的資訊泄密和財産損失，其影響將是持久深遠的，並不是此次修復漏洞後就安全了，攻擊者還可以利用獲得的數(shù)據(jù)進行更大程度上的破壞。

　　一位安全行業(yè)人士透露，他在某著名電商網(wǎng)站上用這個漏洞嘗試讀取數(shù)據(jù)，在讀取200次後，獲得了40多個用戶名、7個密碼，用這些密碼，他成功地登錄了該網(wǎng)站。

　　事件·觀察

　　國家級應急響應亟待優(yōu)化

　　對於此次OpenSSL漏洞給中國網(wǎng)際網(wǎng)路企業(yè)帶來的系統(tǒng)性風險，有專家指出，出於安全考慮，政府有關職能部門應在第一時間向全國發(fā)出警報。但從目前反應出的情況來看，我國重大安全事件的緊急處置及聯(lián)動機制還不夠健全。

　　國家應急中心一位負責人也指出，我國從2003年起，就開始試圖建立漏洞觸發(fā)機制，但這一塊工作的細化和操作在實踐層面還缺乏清晰的路徑。

　　中國電腦學會資訊安全專業(yè)委員會主任嚴明認為，對於政府職能部門，目前公安或者其他相關部門應當立即啟動應急措施，促進通報漏洞資訊，並強制推動所有受到漏洞影響的網(wǎng)站進行技術升級和修補。在這一階段完成後，再對那些出現(xiàn)了財産侵佔的非法行為進行查處追責。

　　對於企業(yè)而言，則要第一時間做出反應，修補自身漏洞，比如該漏洞8日被公佈，一些企業(yè)到了9日才開始補救，一些甚至還無動於衷。

　　本版