導(dǎo)讀：OpenSSL日前被曝出本年度最危險(xiǎn)的安全漏洞，初步評(píng)估有不少于30%的網(wǎng)站中招，其中包括網(wǎng)友們最常用的購(gòu)物、網(wǎng)銀、社交、門(mén)戶等知名網(wǎng)站和服務(wù)。利用這一被命名為“心臟出血”的漏洞，黑客可以獲取到以https開(kāi)頭網(wǎng)址的用戶登錄賬號(hào)和密碼、cookie等敏感數(shù)據(jù)。“心臟出血”漏洞將影響至少兩億中國(guó)網(wǎng)民。

       事件·影響

　　事實(shí)上，最新的調(diào)查顯示，4月7日凌晨，國(guó)內(nèi)就出現(xiàn)了針對(duì)OpenSSL“心臟出血”漏洞的黑客攻擊跡象。360網(wǎng)站安全檢測(cè)平臺(tái)對(duì)國(guó)內(nèi)120萬(wàn)家經(jīng)過(guò)授權(quán)的網(wǎng)站掃描，其中有3萬(wàn)多個(gè)網(wǎng)站主機(jī)受漏洞影響。4月7日、4月8日期間，共計(jì)約2億網(wǎng)友訪問(wèn)了存在漏洞的網(wǎng)站。

　　360安全專家石曉虹博士表示，“心臟出血”漏洞堪稱“網(wǎng)絡(luò)核彈”，初步評(píng)估一批https登錄方式的主流網(wǎng)站，有不少于30%的網(wǎng)站中招，其中包括網(wǎng)銀、網(wǎng)購(gòu)、網(wǎng)上支付、郵箱、門(mén)戶、微信、微博等知名網(wǎng)站和服務(wù)。無(wú)論用戶電腦多么安全，只要網(wǎng)站使用了存在漏洞的OpenSSL版本，用戶登錄該網(wǎng)站時(shí)就可能被黑客實(shí)時(shí)監(jiān)控到登錄賬號(hào)和密碼。

　　據(jù)了解，黑客獲取的是離內(nèi)存最近的64K字節(jié)的內(nèi)容，大概是六萬(wàn)多個(gè)字。這其中很可能包含用戶隱私信息，甚至網(wǎng)站密鑰。

　　網(wǎng)絡(luò)安全專家、南京翰海源信息技術(shù)有限公司創(chuàng)始人方興表示，通過(guò)這個(gè)漏洞，可以泄露以下四方面內(nèi)容：一是私鑰，所有https站點(diǎn)的加密內(nèi)容全能破解；二是網(wǎng)站用戶密碼，用戶資產(chǎn)如網(wǎng)銀隱私數(shù)據(jù)被盜取；三是服務(wù)器配置和源碼，服務(wù)器可以被攻破；四是服務(wù)器“掛掉”不能提供服務(wù)。

　　百度[微博]錢(qián)包也發(fā)布聲明稱，近日，OpenSSL漏洞已排山倒海向互聯(lián)網(wǎng)安全界襲來(lái)，攻擊者可持續(xù)讀取服務(wù)器內(nèi)存數(shù)據(jù)，竊取用戶cookie、口令等敏感數(shù)據(jù)，已確定1.0.1—1.0.1f、1.0.2beta1版本均在此列。

　　事件·最新

　　360網(wǎng)站衛(wèi)士的OpenSSL漏洞檢測(cè)平臺(tái)昨天發(fā)現(xiàn)，清華大學(xué)等幾所高校的某項(xiàng)網(wǎng)絡(luò)服務(wù)存在“心臟出血”漏洞，同時(shí)也監(jiān)測(cè)到了有來(lái)自北京聯(lián)通的一個(gè)IP針對(duì)這些服務(wù)進(jìn)行漏洞探測(cè)，360緊急通知相關(guān)高校進(jìn)行修復(fù)。通過(guò)進(jìn)一步分析發(fā)現(xiàn)，某高校的網(wǎng)絡(luò)服務(wù)存“心臟出血”漏洞源自于其VPN硬件設(shè)備。360提醒用戶，如果通過(guò)檢測(cè)發(fā)現(xiàn)問(wèn)題，可以第一時(shí)間聯(lián)系硬件設(shè)備提供商，通過(guò)軟件升級(jí)或降級(jí)等方式進(jìn)行修復(fù)。

　　事件·提示

　　經(jīng)360網(wǎng)絡(luò)攻防實(shí)驗(yàn)室檢測(cè)發(fā)現(xiàn)，全球開(kāi)放443端口的主機(jī)共有40041126個(gè)，其中受OpenSSL“心臟出血”漏洞影響的主機(jī)有32335個(gè)。

　　360已經(jīng)第一時(shí)間向12萬(wàn)網(wǎng)站用戶發(fā)送提醒郵件，提醒廣大站長(zhǎng)盡快將OpenSSL升級(jí)至 1.0.1g版本，以修復(fù)該漏洞。

　　為幫助用戶避免相應(yīng)風(fēng)險(xiǎn)，360網(wǎng)站衛(wèi)士推出OpenSSL漏洞在線檢查工具(http://wangzhan.360.cn/heartbleed)，輸入網(wǎng)址就能夠檢測(cè)網(wǎng)站是否存在該漏洞。

　　石曉虹提醒廣大互聯(lián)網(wǎng)服務(wù)商，盡快將OpenSSL升級(jí)至1.0.1g版本進(jìn)行修復(fù)。同時(shí)建議廣大網(wǎng)友，在此漏洞得到修復(fù)前，暫時(shí)不要在受到漏洞影響的網(wǎng)站上登錄賬號(hào)，尤其是對(duì)那些沒(méi)有明確采取補(bǔ)救措施的網(wǎng)站，更應(yīng)該謹(jǐn)慎避免泄密風(fēng)險(xiǎn)。在網(wǎng)站完成修復(fù)升級(jí)后，及時(shí)修改密碼。

　　事件·應(yīng)對(duì)

　　對(duì)于OpenSSL存在的漏洞，昨天，阿里巴巴[微博]、騰訊、百度、360、京東等中國(guó)互聯(lián)網(wǎng)公司均表示，已第一時(shí)間對(duì)漏洞進(jìn)行了修復(fù)。

　　騰訊和阿里巴巴均回應(yīng)稱，已在第一時(shí)間對(duì)OpenSSL某些存在基礎(chǔ)協(xié)議通用漏洞的版本進(jìn)行了修復(fù)處理，目前已經(jīng)處理完畢，騰訊包括郵箱、財(cái)付通、QQ、微信等產(chǎn)品和網(wǎng)站，阿里包括淘寶、天貓[微博]、支付寶[微博]等各網(wǎng)站都確認(rèn)可以放心使用。

　　阿里小微金融服務(wù)集團(tuán)(籌)首席風(fēng)險(xiǎn)官胡曉明稱，通過(guò)4月8日一晚上的通宵工作，已經(jīng)完全修復(fù)了OpenSSL出現(xiàn)漏洞后的安全信息問(wèn)題，并重新回顧了這個(gè)時(shí)間點(diǎn)支付寶加密機(jī)制是否存在問(wèn)題，沒(méi)有發(fā)現(xiàn)任何問(wèn)題。

　　百度錢(qián)包稱，在這次風(fēng)暴中未受影響，請(qǐng)大家繼續(xù)安心使用。京東表示，已對(duì)系統(tǒng)全面排查并升級(jí)，目前不建議用戶修改密碼。

　　360公司相關(guān)負(fù)責(zé)人也表示，360歷來(lái)有一個(gè)漏洞檢索機(jī)制，4月8日上午10點(diǎn)28分抓取到了這個(gè)漏洞信息，立即開(kāi)始自我評(píng)估，搜索自己哪些服務(wù)器使用了OpenSSL協(xié)議，最后獲得了一個(gè)服務(wù)器列表，一共有100-200臺(tái)服務(wù)器受到影響，然后立刻要求服務(wù)器團(tuán)隊(duì)開(kāi)始修復(fù)，整個(gè)修復(fù)過(guò)程持續(xù)到4月9日凌晨5點(diǎn)多。

　　事件·后續(xù)

　　北京知道創(chuàng)宇信息技術(shù)有限公司持續(xù)監(jiān)測(cè)發(fā)現(xiàn)，一些公司升級(jí)了OpenSSL；一些公司選擇暫停SSL服務(wù)，仍繼續(xù)使用其主要功能；有的為規(guī)避風(fēng)險(xiǎn)，干脆暫停網(wǎng)站全部服務(wù)；更有一部分根本沒(méi)有采取任何措施。

　　對(duì)于以上公司的處理方式，方興認(rèn)為，相對(duì)于當(dāng)前可能出現(xiàn)的信息泄密和財(cái)產(chǎn)損失，其影響將是持久深遠(yuǎn)的，并不是此次修復(fù)漏洞后就安全了，攻擊者還可以利用獲得的數(shù)據(jù)進(jìn)行更大程度上的破壞。

　　一位安全行業(yè)人士透露，他在某著名電商網(wǎng)站上用這個(gè)漏洞嘗試讀取數(shù)據(jù)，在讀取200次后，獲得了40多個(gè)用戶名、7個(gè)密碼，用這些密碼，他成功地登錄了該網(wǎng)站。

　　事件·觀察

　　對(duì)于此次OpenSSL漏洞給中國(guó)互聯(lián)網(wǎng)企業(yè)帶來(lái)的系統(tǒng)性風(fēng)險(xiǎn)，有專家指出，出于安全考慮，政府有關(guān)職能部門(mén)應(yīng)在第一時(shí)間向全國(guó)發(fā)出警報(bào)。但從目前反應(yīng)出的情況來(lái)看，我國(guó)重大安全事件的緊急處置及聯(lián)動(dòng)機(jī)制還不夠健全。

　　國(guó)家應(yīng)急中心一位負(fù)責(zé)人也指出，我國(guó)從2003年起，就開(kāi)始試圖建立漏洞觸發(fā)機(jī)制，但這一塊工作的細(xì)化和操作在實(shí)踐層面還缺乏清晰的路徑。

　　中國(guó)計(jì)算機(jī)學(xué)會(huì)信息安全專業(yè)委員會(huì)主任嚴(yán)明認(rèn)為，對(duì)于政府職能部門(mén)，目前公安或者其他相關(guān)部門(mén)應(yīng)當(dāng)立即啟動(dòng)應(yīng)急措施，促進(jìn)通報(bào)漏洞信息，并強(qiáng)制推動(dòng)所有受到漏洞影響的網(wǎng)站進(jìn)行技術(shù)升級(jí)和修補(bǔ)。在這一階段完成后，再對(duì)那些出現(xiàn)了財(cái)產(chǎn)侵占的非法行為進(jìn)行查處追責(zé)。

　　對(duì)于企業(yè)而言，則要第一時(shí)間做出反應(yīng)，修補(bǔ)自身漏洞，比如該漏洞8日被公布，一些企業(yè)到了9日才開(kāi)始補(bǔ)救，一些甚至還無(wú)動(dòng)于衷。

　　本版文/本報(bào)記者 吳琳琳制圖/潘璠