一句話科普:OpenSSL就是互聯(lián)網(wǎng)上銷量最大的門鎖。

　　不過最新曝出的這個(gè)漏洞,，則讓它成為無需鑰匙即可開啟的廢鎖,，雖然這把廢鎖被打開的概率不高，但保險(xiǎn)（放心保）起見,，請(qǐng)修改密碼,。

　　2014年4月8日，必將永載于互聯(lián)網(wǎng)史冊(cè),。這一天,，互聯(lián)網(wǎng)世界發(fā)生兩件大事：一、微軟正式宣布XP停止服務(wù)退役,；二,、OpenSSL的超級(jí)大漏洞曝光。

　　很多普通人更關(guān)心第一件事,，因?yàn)榕c自己切身相關(guān)。但事實(shí)上,，第二件事,，才是真正的大事件。

　　這個(gè)漏洞影響了多少網(wǎng)站,，數(shù)字仍在評(píng)估當(dāng)中,，但放眼放去，我們經(jīng)常訪問的支付寶,、淘寶,、微信公眾號(hào)、YY語音,、陌陌,、雅虎郵件、網(wǎng)銀等各種網(wǎng)站,，基本上都出了問題,。

　　這一漏洞一旦被惡意利用，意味著用戶登錄這些電商,、網(wǎng)銀的賬戶,、密碼等關(guān)鍵信息都有可能泄露，造成財(cái)產(chǎn)損失,。

　　而在國外,，受到波及的網(wǎng)站也數(shù)不勝數(shù),，就連大名鼎鼎的NASA（美國航空航天局）也已宣布，用戶數(shù)據(jù)庫遭泄露,。

　　這個(gè)漏洞被曝光的黑客命名為“heartbleed”,，意思是“心臟出血”—代表著最致命的內(nèi)傷,這是一個(gè)極為貼切的表述。

　　這一夜,，互聯(lián)網(wǎng)門戶大開

　　網(wǎng)絡(luò)基礎(chǔ)安全協(xié)議曝出大漏洞

　　4月8日,，網(wǎng)絡(luò)安全協(xié)議OpenSLL被曝出存在安全漏洞，該協(xié)議常用于電商,、網(wǎng)銀等安全性極高的網(wǎng)站,。

　　該漏洞是由安全公司Codenomicon和谷歌安全工程師發(fā)現(xiàn)的。為了將影響降到最低,，該研究人員已經(jīng)與OpenSSL團(tuán)隊(duì)和其他關(guān)鍵的內(nèi)部人士展開了合作,，在公布該問題前就已經(jīng)準(zhǔn)備好修復(fù)方案。

　　程序員Sean Cassidy在自己的博客上詳細(xì)描述了這個(gè)漏洞的機(jī)制,。他披露,，OpenSSL的源代碼中存在一個(gè)漏洞，可以讓攻擊者獲得服務(wù)器上64K內(nèi)存中的數(shù)據(jù)內(nèi)容,。這部分?jǐn)?shù)據(jù)中,，可能存有安全證書、用戶名與密碼,、聊天工具的消息,、電子郵件以及重要的商業(yè)文檔等數(shù)據(jù)。

　　OpenSSL是目前互聯(lián)網(wǎng)上應(yīng)用最廣泛的安全傳輸方法,?？梢哉f，它是互聯(lián)網(wǎng)上銷量最大的門鎖,。而Sean曝出的這個(gè)漏洞,，則讓特定版本的OpenSSL成為無需鑰匙即可開啟的廢鎖；入侵者每次可以翻檢戶主的64K信息,，只要有足夠的耐心和時(shí)間,，他可以翻檢足夠多的數(shù)據(jù)，拼湊出戶主的銀行密碼,、私信等敏感數(shù)據(jù),；假如戶主是個(gè)開商店的或開銀行的，那么在他這里買東西,、存錢的用戶,，其個(gè)人最敏感的數(shù)據(jù)也可能被入侵者獲取。發(fā)現(xiàn)者們給這個(gè)漏洞起了個(gè)形象的名字：heartbleed,，“心臟出血”,。這一夜,，互聯(lián)網(wǎng)的安全核心，開始滴血,。

　　什么是SSL,？

　　SSL是一種流行的加密技術(shù)，可以保護(hù)用戶通過互聯(lián)網(wǎng)傳輸?shù)碾[私信息,。當(dāng)用戶訪問Gmail.com等安全網(wǎng)站時(shí),，就會(huì)在URL地址旁看到一個(gè)“鎖”，表明你在該網(wǎng)站上的通訊信息都被加密,。

　　這個(gè)“鎖”表明,，第三方無法讀取你與該網(wǎng)站之間的任何通訊信息。在后臺(tái),，通過SSL加密的數(shù)據(jù)只有接收者才能解密,。如果不法分子監(jiān)聽用戶的對(duì)話，也只能看到一串隨機(jī)字符串,，而無法了解電子郵件,、Facebook帖子、信用卡賬號(hào)或其他隱私信息的具體內(nèi)容。

　　SSL最早在1994年由網(wǎng)景推出，已經(jīng)被所有主流瀏覽器采納,。最近幾年，很多大型網(wǎng)絡(luò)服務(wù)都已經(jīng)默認(rèn)利用這項(xiàng)技術(shù)加密數(shù)據(jù),。如今，谷歌,、雅虎和Facebook都在使用SSL對(duì)其網(wǎng)站和網(wǎng)絡(luò)服務(wù)進(jìn)行加密。

　　什么是“心臟出血”漏洞

　　多數(shù)SSL加密的網(wǎng)站都使用名為OpenSSL的開源軟件包,。

　　4月8日,，研究人員宣布這款軟件存在嚴(yán)重漏洞，可能導(dǎo)致用戶的通訊信息暴露給監(jiān)聽者,。

　　據(jù)悉,，OpenSSL大約兩年前就已經(jīng)存在這一缺陷。

　　“心臟出血”漏洞的工作原理：SSL標(biāo)準(zhǔn)包含一個(gè)心跳選項(xiàng),，允許SSL連接一端的電腦發(fā)出一條簡(jiǎn)短的信息,，確認(rèn)另一端的電腦仍然在線，并獲取反饋,。研究人員發(fā)現(xiàn),，可以通過巧妙的手段發(fā)出惡意心跳信息，欺騙另一端的電腦泄露機(jī)密信息,。受影響的電腦可能會(huì)因此而被騙,，并發(fā)送服務(wù)器內(nèi)存中的信息,。

　　誰能利用漏洞？

　　“對(duì)于了解這項(xiàng)漏洞的人,，要對(duì)其加以利用并不困難,。”普林斯頓大學(xué)計(jì)算機(jī)科學(xué)家菲爾騰說,。利用這項(xiàng)漏洞的軟件在網(wǎng)上有很多,，任何擁有基本編程技能的人都能學(xué)會(huì)它的使用方法。

　　這項(xiàng)漏洞對(duì)情報(bào)機(jī)構(gòu)的價(jià)值或許最大,，他們擁有足夠的基礎(chǔ)設(shè)施來對(duì)用戶流量展開大規(guī)模攔截,。我們知道，美國國家安全局(以下簡(jiǎn)稱“NSA”)已經(jīng)可以進(jìn)入到互聯(lián)網(wǎng)的骨干網(wǎng)中,。用戶或許認(rèn)為,，Gmail和Facebook等網(wǎng)站上的SSL加密技術(shù)可以保護(hù)他們不受監(jiān)聽，但NSA 卻可以借助“心臟出血”漏洞獲取解密通訊信息的私鑰,。

　　雖然現(xiàn)在還不能確定,，但如果NSA在“心臟出血”漏洞公之于眾前就已經(jīng)發(fā)現(xiàn)這一漏洞，也并不出人意料,。

　　有多少網(wǎng)站受到影響,？

　　目前還沒有具體的統(tǒng)計(jì)數(shù)據(jù)，但發(fā)現(xiàn)該漏洞的研究人員指出,，當(dāng)今最熱門的兩大網(wǎng)絡(luò)服務(wù)器Apache和nginx都使用OpenSSL,。總體來看,，這兩種服務(wù)器約占全球網(wǎng)站總數(shù)的三分之二,。

　　雅虎：“我們的團(tuán)隊(duì)已經(jīng)在雅虎的主要資產(chǎn)中(包括雅虎主頁、雅虎搜索,、雅虎電郵,、雅虎財(cái)經(jīng)、雅虎體育,、雅虎美食,、雅虎科技、Flickr和Tumblr)成功部署適當(dāng)?shù)男迯?fù)措施,?！?/p>

　　谷歌：“我們已經(jīng)評(píng)估了SSL漏洞，并且給谷歌的關(guān)鍵服務(wù)打上了補(bǔ)丁,?！盕acebook稱，在該漏洞公開時(shí),，該公司已經(jīng)解決了這一問題,。

　　微軟發(fā)言人也表示：“我們正在關(guān)注OpenSSL問題的報(bào)道,。如果確實(shí)對(duì)我們的設(shè)備和服務(wù)有影響，我們會(huì)采取必要措施保護(hù)用戶,?！?/p>

　　這一漏洞，堪稱“地震級(jí)別”

　　影響嚴(yán)重:還不知哪些服務(wù)器被入侵

　　“對(duì)于一個(gè)安全協(xié)議來說,，這樣的安全漏洞是非常嚴(yán)重的,。”北京知道創(chuàng)宇信息技術(shù)有限公司研究部總監(jiān)鐘晨鳴說,。

　　該漏洞只能從內(nèi)存中讀取64K的數(shù)據(jù),，而重要信息正好落在這個(gè)可讀取的64K上的幾率并不大，但是攻擊者可以不斷批量地去獲取這最新的64K數(shù)據(jù),，這樣就很大程度上可以得到盡可能多的用戶隱私信息,。

　　據(jù)南京翰海源信息技術(shù)有限公司創(chuàng)始人方興介紹，通過這個(gè)漏洞,，可以泄露以下四方面內(nèi)容：一是私鑰,，所有https站點(diǎn)的加密內(nèi)容全能破解；二是網(wǎng)站用戶密碼,，用戶資產(chǎn)如網(wǎng)銀等隱私數(shù)據(jù)被盜?。蝗欠?wù)器配置和源碼,，服務(wù)器可以被攻破,；四是服務(wù)器掛掉不能提供服務(wù)。

　　一位安全行業(yè)人士透露,，他在某著名電商網(wǎng)站上用這個(gè)漏洞嘗試讀取數(shù)據(jù),，在讀取200次后，獲得了40多個(gè)用戶名,、7個(gè)密碼,，用這些密碼，他成功登錄該網(wǎng)站,。

　　更大威脅: 部分涉及機(jī)構(gòu)竟盲目樂觀

　　這一漏洞被曝出后，全球的黑客與安全保衛(wèi)者們展開了競(jìng)賽,。黑客在不停地試探各類服務(wù)器,，試圖從漏洞中抓取到盡量多的用戶數(shù)據(jù)；安全保衛(wèi)者則在盡可能短的時(shí)間里升級(jí)系統(tǒng),、彌補(bǔ)漏洞,，實(shí)在來不及實(shí)施的則暫時(shí)關(guān)閉某些服務(wù)。

　　根據(jù)知道創(chuàng)宇公司持續(xù)在線監(jiān)測(cè)情況來看,，并非所有受到該漏洞威脅的公司都認(rèn)識(shí)到了這一危害性,，部分涉及機(jī)構(gòu)盲目樂觀,。有的只是暫停SSL服務(wù)，仍繼續(xù)提高其主要功能,，比如微信,；有的為規(guī)避風(fēng)險(xiǎn)，干脆暫停網(wǎng)站全部服務(wù),；還有的沒有采取任何措施,。

　　鐘晨鳴說，這個(gè)漏洞實(shí)際上出現(xiàn)于2012年,，至今兩年多,，誰也不知道是否已經(jīng)有黑客利用漏洞獲取了用戶資料；而且由于該漏洞即使被入侵也不會(huì)在服務(wù)器日志中留下痕跡,，所以目前還沒有辦法確認(rèn)哪些服務(wù)器被入侵,，也就沒法定位損失、確認(rèn)泄漏信息,，從而通知用戶進(jìn)行補(bǔ)救,。

　　存在短板:我國網(wǎng)絡(luò)安全應(yīng)急能力差

　　作為國內(nèi)頂尖的安全專家，方興指出,，此次發(fā)現(xiàn)的漏洞事實(shí)上是非常簡(jiǎn)單的一個(gè)漏洞,，并不是因?yàn)樗惴ū还テ疲怯捎诔绦騿T在設(shè)計(jì)時(shí)沒有做長(zhǎng)度檢查而產(chǎn)生的內(nèi)在泄露漏洞,?！皫缀跛谐绦騿T都很容易犯的錯(cuò)誤，即使微軟的高手,，開源的精英也容易犯,。”程序員的一時(shí)疏忽引發(fā)了蝴蝶效應(yīng),，帶來了全球網(wǎng)絡(luò)安全危機(jī),。

　　“SSL是廣泛使用的數(shù)據(jù)傳輸加密協(xié)議，這個(gè)漏洞是大地震級(jí)別的,?！敝袊?jì)算機(jī)學(xué)會(huì)信息安全專業(yè)委員會(huì)主任嚴(yán)明說。

　　分析人士指出,，具體受害的用戶數(shù)字要到后面才能得以統(tǒng)計(jì),，當(dāng)前應(yīng)動(dòng)員所有應(yīng)急機(jī)制做出緊急反應(yīng)，并通報(bào)如何盡量減少威脅,。建議大型站點(diǎn)需要換證,，重新配置一些重要程序和配置里的密碼串。國家應(yīng)急中心直到9日才開始聯(lián)動(dòng)。

　　該中心一名專家坦陳,，從2003年,，國家應(yīng)急中心就試圖建立漏洞觸發(fā)的相關(guān)應(yīng)急工作和能力，但是這一領(lǐng)域的工作到現(xiàn)在也不夠清晰,，需要新的能力架構(gòu)設(shè)計(jì),。

　　我們?cè)撛鯓幼员?/strong>