2014年4月8日，必將永載于互聯(lián)網史冊。這一天，互聯(lián)網世界發(fā)生了兩件大事：一、微軟正式宣布XP停止服務退役；第二件，OpenSSL的大漏洞曝光。

很多普通人更關心第一件事，因為與自己切身相關。但事實上，第二件事，才是真正的大事件。

這個漏洞影響了多少網站，這個數字仍在評估當中，但放眼望去，我們經常訪問的支付寶、淘寶、微信公眾號、YY語音、陌陌、雅虎郵件、網銀、門戶等各種網站，基本上都出了問題。

基礎安全協(xié)議“心臟出血”

該漏洞是由安全公司Codenomicon和谷歌安全工程師發(fā)現(xiàn)的，并提交給相關管理機構，隨后官方很快發(fā)布了漏洞的修復方案。4月7號，程序員Sean Cassidy則在自己的博客上詳細描述了這個漏洞的機制。

他披露，OpenSSL的源代碼中存在一個漏洞，可以讓攻擊者獲得服務器上64K內存中的數據內容。這部分數據中，可能存有安全證書、用戶名與密碼、聊天工具的消息、電子郵件以及重要的商業(yè)文檔等數據。

OpenSSL是目前互聯(lián)網上應用最廣泛的安全傳輸方法（基于SSL即安全套接層協(xié)議）。可以近似地說，它是互聯(lián)網上銷量最大的門鎖。而Sean爆出的這個漏洞，則讓特定版本的OpenSSL成為無需鑰匙即可開啟的廢鎖；入侵者每次可以翻檢戶主的64K信息，只要有足夠的耐心和時間，他可以翻檢足夠多的數據，拼湊出戶主的銀行密碼、私信等敏感數據；假如戶主不幸是一個開商店的或開銀行的，那么在他這里買東西、存錢的用戶，其個人最敏感的數據也可能被入侵者獲取。

一位安全行業(yè)人士在知乎上透露，他在某著名電商網站上用這個漏洞嘗試讀取數據，在讀取200次后，獲得了40多個用戶名、7個密碼，用這些密碼，他成功地登錄了該網站。

發(fā)現(xiàn)者們給這個漏洞起了個形象的名字：heartbleed，心臟出血。這一夜，互聯(lián)網的安全核心，開始滴血。

中國有至少三萬臺機器“帶病”

一些安全研究者認為，這個漏洞影響可能沒有那么大，因為受漏洞影響的OpenSSL 1.01系列版本，在互聯(lián)網上部署并不廣泛。

國內老資格的安全工作者、安天實驗室首席架構師江海客不認同這種說法。他在微博上預警：“這一次，狼真的來了”。

余弦則以對問題進行了精確的定量分析。4月8日的不眠之夜中，他除了在Twitter和各大論壇中實時跟蹤事態(tài)的最新進展，更重要的精力放在了ZoomEye系統(tǒng)的掃描上。根據該系統(tǒng)掃描，中國全境有1601250臺機器使用443端口，其中有33303個受本次OpenSSL漏洞影響！443端口僅僅是OpenSSL的一個常用端口，用以進行加密網頁訪問；其他還有郵件、即時通訊等服務所使用的端口，因時間關系，尚未來得及掃描。

ZoomEye是一套安全分析系統(tǒng)，其工作原理類似Google，會持續(xù)抓取全球互聯(lián)網中的各種服務器，并記錄服務器的硬件配置、軟件環(huán)境等各類指標，生成指紋，定期對比，以此確定該服務器是否存在漏洞或被入侵。在此次“心臟出血”漏洞檢測中，余弦給該系統(tǒng)后面加上一個“體檢”系統(tǒng)，過濾出使用問題OPenSSL的服務器，即可得出存在安全隱患的服務器規(guī)模。

從該系統(tǒng)“體檢”結果看，比三萬臺問題服務器更令人驚心的，是這些服務器的分布：它們有的在銀行網銀系統(tǒng)中，有的被部署在第三方支付里，有的在大型電商網站，還有的在郵箱、即時通訊系統(tǒng)中。

自這個漏洞被爆出后，全球的駭客與安全專家們展開了競賽。前者在不停地試探各類服務器，試圖從漏洞中抓取到盡量多的用戶敏感數據；后者則在爭分奪秒地升級系統(tǒng)、彌補漏洞，實在來不及實施的則暫時關閉某些服務。余弦說，這是目前最危險的地方：駭客們已經紛紛出動，一些公司的負責人卻還在睡覺。而如果駭客入侵了服務器，受損的遠不止公司一個個體，還包括存放于公司數據庫的大量用戶敏感資料。更為麻煩的是，這個漏洞實際上出現(xiàn)于2012年，至今兩年多，誰也不知道是否已經有駭客利用漏洞獲取了用戶資料；而且由于該漏洞即使被入侵也不會在服務器日志中留下痕跡，所以目前還沒有辦法確認哪些服務器被入侵，也就沒法定位損失、確認泄漏信息，從而通知用戶進行補救。

問題的應對與新的問題

目前，ZoomEye仍在持續(xù)不斷地給全球服務器”體檢“，這個過程需要20小時左右。相比之下，僅僅給國內服務器體檢需要的時間短得多，僅僅需要22分鐘；而給那三萬多臺”帶病“服務器重復體檢，則只需兩分鐘。目前，余弦已經將這份名單提交給CNCERT/CC（國家互聯(lián)網應急中心），由后者進行全國預警。但是，除了移動、聯(lián)通等這些大型企業(yè)外，CNCERT也沒有強制力確保其他公司看到預警內容，最后可能還是需要媒體持續(xù)曝光一些“帶病”服務器，以此倒逼相關公司重視該漏洞。

而在漏洞修補期間，普通消費者與公司均應該采取相關措施規(guī)避風險。對于普通用戶來說，余弦建議在確認有關網站安全之前，不要使用網銀、電子支付和電商購物等功能，以避免用戶密碼被鉆了漏洞的駭客捕獲。“一位銀行朋友告訴我，他們補上這個漏洞需要兩天時間。這兩天大家最好就別登錄網銀了，確認安全后再登。如果已經登錄過了，那就考慮換一下密碼吧。”

與用戶的消極避險不同，相關互聯(lián)網企業(yè)則應該盡快進行主動升級。升級到最新的OpenSSL版本，可以消除掉這一漏洞，這是目前企業(yè)最便捷的做法。但在升級后，理論上還應該通知用戶更換安全證書（因為漏洞的存在，證書的密鑰可能已泄漏），并通知用戶盡可能地修改密碼。后面這兩個措施，企業(yè)實施起來會面臨很大的代價，也只能通過媒體盡量曝光，讓意識到的用戶重新下載證書并自行修改密碼了。

由于“心臟出血”漏洞的廣泛性和隱蔽性，未來幾天可能還將會陸續(xù)有問題爆出。在互聯(lián)網飛速發(fā)展的今天，一些協(xié)議級、基礎設施級漏洞的出現(xiàn)，可能會打擊人們使用互聯(lián)網的信心，但客觀上也使得問題及時暴露，在發(fā)生更大的損失前及時得到彌補。作為身處其中的個人，主動應變、加強自我保護，可能比把安全和未來全部托付出去要負責任一些。

河南億恩科技股份有限公司(www.czbl888.cn)始創(chuàng)于2000年，專注服務器托管租用，是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務，另有網總管、名片俠網絡推廣服務，使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話：0371-60135900
虛擬主機/智能建站 24小時售后服務電話：0371-55621053
網絡版權侵權舉報電話：0371-60135995
服務熱線：0371-60135900