心脏出血”漏洞引发网络安全危机 数据发生泄露

　　本报记者 刘红霞综合报道

　　4月8日晚，一种为网络通信提供数据安全的协议（OpenSSL）的多个版本爆出漏洞。该漏洞加剧了用户大量隐藏数据被盗的风险，成为本年度至今最严重的安全漏洞。用户信息可能被任意盗取，网银、支付宝、邮箱、VPN无一幸免。

　　自漏洞爆出以来，影响仍在持续发酵，一些个人信息被泄露，成为地下交易的筹码；一些知名电商网站虽然完成了修复，但仍有部分反应迟钝。专家指出，漏洞“心出血”余波影响仍将持续，在“心脏出血”漏洞逐渐修补结束后，由于用户很多软件中也存在该漏洞，黑客目标存在从服务器转向客户端的可能性，下一步有可能出现“血崩”，应注意防范。

　　“地震级”网络灾难

　　4月8日，在微软XP操作系统正式停止服务同一天，互联网筑墙被划出一道致命的裂口常用于电商、支付类接口等安全性极高网站的网络安全协议OpenSSL被曝存在高危漏洞，众多使用https的网站均可能受到影响。

　　据了解，SSL是为网络通信提供安全及数据完整性的一种安全协议。目前多数SSL加密网站都是用名为OpenSSL的开源软件包，这也是互联网应用最广泛的安全传输方法，被广大网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用。

　　而OpenSSL此次被爆出的漏洞，被业内命名为“心脏出血”。360安全专家石晓虹介绍，这个漏洞让特定版本的OpenSSL成为无需钥匙就能的飞梭，“如果用户登录存在漏洞的购物、网银等网站，黑客就可以从网站主机远程获取用户的账号、密码和Cookie等私密信息。”

　　关于此次漏洞的严重性，知道创宇信息技术有限公司研究部总监余弦表示，OpenSSL协议常用于安全性极高的网站，此漏洞一旦被恶意利用，用户登录这些电商、网银的账户、密码等关键信息都将面临泄露风险。

　　余弦表示，大量使用https的网站将受到影响，而且越是知名的大网站，越容易受到。监测发现，在中国境内的160余万台服务器中，有33303台受到这一漏洞影响，尽管占比不大，但这3万多台服务器分布在支付类接口系统、大型电商网站、即时通信系统和邮箱这些最重要的网络服务器中，其影响范围包括常用的网银及诸多知名网站，微信、支付宝、陌陌等均在其列。

　　面对此次被称为“心脏出血”的高危漏洞，中国计算机学会计算机安全专业委员会主任严明说，这个漏洞是地震级别的，就像家里的门很坚固也锁好了，但是发现窗户虚掩着。

　　数据已发生泄露

　　南京翰海源信息技术有限公司创始人方兴指出：此漏洞事实上非常简单，并不是因为算法被攻破，而是由于程序员在设计时没有做长度检查而产生的内在泄露漏洞。

　　“新生程序员时常会犯这样的错误。”知道创宇首席执行官杨冀龙如此看待这一问题。

　　除了大量个人信息数据被泄露之外，很多企业也受到此次漏洞的冲击影响。杨冀龙说，截至9日晚的数据，知道创宇公司通过监测ZoomEye实时扫描数据分析发现，国内12306铁客户服务中心、微信号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕，但还有一些网站没有完成修复。

　　奇虎360首席隐私官谭晓生说，比如某网银网站，黑客放出来一个针对漏洞的代码，不断往该网站服务器发一个通信包，每发一个通信包收回来64K的数据，再发一个包又收回64K数据，不断地发包，可以慢慢获得服务器内存数据，64K是6万多个字节，里面可以存储很大的信息量。

　　一位安全行业人士透露，他在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功地登录了该网站。

　　还长期潜伏

　　本次漏洞危害将会持续一段时间。谭晓生分析认为，这次漏洞危害与之前出现的漏洞危害差别很大。在之前出现的安全漏洞中，发现漏洞补了之后，不再出现损失了。但是这次的危害是在账户密码泄露后才发生的，比如张三的卡号和支付密码被盗走了，但张知情，黑客可能不会立即取钱，而是过了一个月之后，大家的性都降低了，黑客才去利用账号和密码取钱。

　　余弦坦言，问题在于这个漏洞实际出现在2012年。两年多来，谁也不知道是否已经有黑客利用漏洞获取了用户资料；由于该漏洞即使被入侵也不会在服务器日志中留下痕迹，所以目前还没有办法确认哪些服务器被入侵过，也就没位损失、确认泄露信息。

　　目前看来，该漏洞的确已被很多黑客利用。网络安全领域资深人士透露，由于OpenSSL漏洞的出现，8日、9日的地下交易市场中，各种兜售非法数据的交易显得异常火暴，比如一份某省工程类人员的信息数据，该信息清晰显示出大量人员的姓名、身份证号码等。

　　据悉，安全协议OpenSSL最新漏洞的影响仍在持续发酵，截至目前，仍有许多网站尚未完成漏洞修复。

　　杨冀龙，在相关网站升级修复前，暂且不要登录网购、支付类接口账户，尤其是对那些没有明确采取补救措施的网站，更应该谨慎避免泄密风险。对于一些已经完成升级的网站，用户应当尽快登录网站更改自己的密码等重要信息。

　　安全人士指出，即使用户之前登录的网站发生了泄密，因为黑客掌握的账号密码数量庞大，短时间内无法消化使用，所以对于单个用户而言尽快更改密码设置常必要的。但是，对于一些邮箱类网站，则需再登录邮箱一次，然后点击退出登录，因为黑客利用cookie缓存可直接登录。

　　这次“心脏出血”事件有可能会产生地震级的网络灾难，也有可能因为补救及时而幸运地平滑而过。但随着人们把越来越多的信息与财富放在网上，而防范意识又无法真正提高，早晚都难免会发生一起灾难性的网络安全大事件，这不是预言，这是宿命。

　　做好网络安全，网站有重要责任，但单靠网站单方面的升级与打补丁无济于事，网络安全更是每个人自己的事情，关注安全信息，定期安全密码，增加安全验证等，这看起来很麻烦，但与互联网所带来的便利相比，其实不算什么，就当作为享受互联网而支付的代价吧。

　　正文已结束，您可以按alt+4进行评论

　　XP退休引发网络安全关注 4只概念股为上网保驾护航

　　金山软件拟分拆网络安全业务美上市 筹23亿元

　　网络安全漏洞频出 三公司网络支付安全

　　网络安全 需多方共担责任

　　关注重大网络安全漏洞