8日晚，“黑客”迎來狂歡之夜，網(wǎng)絡(luò)安全協(xié)議OpenSLL曝出安全漏洞，讓他們借機(jī)肆意掃描網(wǎng)站數(shù)據(jù)庫，用戶登錄電商、網(wǎng)銀的賬戶、密碼等關(guān)鍵信息可能會(huì)泄露，造成財(cái)產(chǎn)損失。黑客和安全保衛(wèi)者正在進(jìn)行“你盜我堵”的瘋狂賽跑，在這一過程中，也暴露出我國在網(wǎng)絡(luò)安全防護(hù)方面存在軟肋。

　　網(wǎng)絡(luò)地震來襲

　　微信淘寶網(wǎng)銀均會(huì)受影響

　　一位安全行業(yè)人士在某著名電商網(wǎng)站上用這個(gè)漏洞嘗試讀取數(shù)據(jù)，在讀取200次后，獲得了40多個(gè)用戶名、7個(gè)密碼，用這些密碼，他成功地登錄了該網(wǎng)站

　　4月8日，互聯(lián)網(wǎng)發(fā)生了兩件大事，分別是：微軟正式宣布XP停止服務(wù)退役；OpenSSL的大漏洞曝光。如果說XP停服存隱憂的話，那么第二件事帶來的威脅則近在咫尺，用戶的信息安全和財(cái)產(chǎn)安全已直接受到威脅。

　　ZoomEye最新完成的掃描數(shù)據(jù)顯示，全國160萬個(gè)443端口中，已有3.3萬個(gè)受本次OpenSSL漏洞影響。在國外，受到波及的網(wǎng)站也數(shù)不勝數(shù)，連NASA(美國航空航天局)也已宣布，用戶數(shù)據(jù)庫遭泄露。

　　一安全行業(yè)人士透露，他在某著名電商網(wǎng)站用這個(gè)漏洞嘗試讀取數(shù)據(jù)，讀取200次后獲得40多個(gè)用戶名、7個(gè)密碼，用這些密碼，他成功地登錄了該網(wǎng)站。

　　北京知道創(chuàng)宇信息技術(shù)有限公司研究部總監(jiān)鐘晨鳴表示，此次漏洞會(huì)影響為數(shù)眾多的使用https的網(wǎng)站，其中包括公眾熟知并且經(jīng)常訪問的微信、淘寶、各個(gè)網(wǎng)銀、社交、門戶等知名網(wǎng)站。而且越是知名的大網(wǎng)站，越容易受到不法分子利用漏洞進(jìn)行攻擊。

　　據(jù)介紹，這一漏洞的發(fā)現(xiàn)者們給這個(gè)漏洞起了個(gè)形象的名字：heartbleed——心臟出血。

　　“這個(gè)漏洞是地震級(jí)別的?！敝袊?jì)算機(jī)學(xué)會(huì)信息安全專業(yè)委員會(huì)主任嚴(yán)明說，目前受害的用戶具體數(shù)字還難以知曉，要到過后才能統(tǒng)計(jì)出來。“打個(gè)形象的比喻，就像家里的門很堅(jiān)固也鎖好了，但是發(fā)現(xiàn)窗戶虛掩著?！?br />
　　威脅長期存在

　　并非此次修復(fù)漏洞就安全

　　該漏洞即使被入侵也不會(huì)在服務(wù)器日志中留下痕跡，攻擊者可以利用已獲得的數(shù)據(jù)進(jìn)行更大程度上的破壞

　　8日夜，被安全領(lǐng)域業(yè)內(nèi)稱為是“‘黑客’的狂歡之夜”。

　　漏洞曝出后，全球的“黑客”與安全保衛(wèi)者展開了競賽?！昂诳汀辈煌５卦囂礁黝惙?wù)器，試圖從漏洞中抓取盡量多的用戶數(shù)據(jù)；安全保衛(wèi)者則在盡可能短的時(shí)間里升級(jí)系統(tǒng)、彌補(bǔ)漏洞。

　　網(wǎng)絡(luò)安全專家、南京翰海源信息技術(shù)有限公司創(chuàng)始人方興說，通過這個(gè)漏洞，可以泄露以下四方面內(nèi)容：一是私鑰，所有https站點(diǎn)的加密內(nèi)容全能破解；二是網(wǎng)站用戶密碼，用戶資產(chǎn)如網(wǎng)銀隱私數(shù)據(jù)被盜?。蝗欠?wù)器配置和源碼，服務(wù)器可以被攻破；四是服務(wù)器“掛掉”不能提供服務(wù)。

　　然而，很多公司并沒認(rèn)識(shí)到問題的重要性。北京知道創(chuàng)宇信息技術(shù)有限公司持續(xù)監(jiān)測發(fā)現(xiàn)，一些機(jī)構(gòu)升級(jí)了OpenSSL，如360、百度等；一些選擇暫停SSL服務(wù)，仍繼續(xù)使用其主要功能，如微信；有的為規(guī)避風(fēng)險(xiǎn)，干脆暫停網(wǎng)站全部服務(wù)；更有一部分根本沒有采取任何措施。

　　鐘晨鳴說，這個(gè)漏洞實(shí)際上出現(xiàn)于2012年，至今兩年多，誰也不知道是否已有黑客利用漏洞獲取了用戶資料；而且由于該漏洞即使被入侵也不會(huì)在服務(wù)器日志中留下痕跡，所以目前還沒辦法確認(rèn)哪些服務(wù)器被入侵，也就沒法定位損失、確認(rèn)泄漏信息，從而通知用戶進(jìn)行補(bǔ)救。

　　相對(duì)于當(dāng)前可能出現(xiàn)的信息泄密和財(cái)產(chǎn)損失，方興說，它的影響將是持久深遠(yuǎn)的，并不是此次修復(fù)漏洞后就安全了，攻擊者還可以利用獲得的數(shù)據(jù)進(jìn)行更大程度上的破壞。

　　網(wǎng)安存在軟肋

　　國家級(jí)應(yīng)急響應(yīng)亟待優(yōu)化

　　從2003年起，國家應(yīng)急中心就試圖建立漏洞觸發(fā)的相關(guān)應(yīng)急工作和能力，但這一領(lǐng)域的工作到現(xiàn)在也不夠清晰

　　國家應(yīng)急中心直到9日才開始聯(lián)動(dòng)。中心一名專家坦陳，2003年起，國家應(yīng)急中心就試圖建立漏洞觸發(fā)的相關(guān)應(yīng)急工作和能力，但是這一領(lǐng)域的工作到現(xiàn)在也不夠清晰，需要新的能力架構(gòu)設(shè)計(jì)?！凹兪录|發(fā)有時(shí)太晚太被動(dòng)，2001年至2004年有很多教訓(xùn)，技術(shù)上存在適當(dāng)前移的可能。”

　　中科院相關(guān)專業(yè)人士指出，這是考驗(yàn)我國互聯(lián)網(wǎng)系統(tǒng)應(yīng)急能力的重要時(shí)刻。出于安全考慮，政府有關(guān)職能部門應(yīng)在第一時(shí)間向全國發(fā)出警報(bào)。能否在此次突發(fā)事件中有所作為，是對(duì)相關(guān)部門的一塊試金石。但從目前反應(yīng)情況來看，我國重大安全事件的緊急處置及聯(lián)動(dòng)機(jī)制還不夠健全。

　　“當(dāng)前最為緊急的事情，是減少損失范圍”，嚴(yán)明說，對(duì)于政府職能部門，目前公安或者其他相關(guān)部門應(yīng)當(dāng)立即啟動(dòng)應(yīng)急措施，促進(jìn)通報(bào)漏洞信息，并強(qiáng)制推動(dòng)所有受到漏洞影響的網(wǎng)站進(jìn)行技術(shù)升級(jí)和修補(bǔ)。在這一階段完成后，再對(duì)那些出現(xiàn)了財(cái)產(chǎn)侵占的非法行為進(jìn)行查處追責(zé)。對(duì)于企業(yè)而言，則要第一時(shí)間做出反應(yīng)，修補(bǔ)自身漏洞，比如該漏洞8日被公布，一些企業(yè)到了9日才開始補(bǔ)救，一些甚至還無動(dòng)于衷。

　　對(duì)于普通用戶，安全領(lǐng)域?qū)＜医ㄗh，近日在相關(guān)網(wǎng)站升級(jí)修復(fù)前，建議暫且不要登錄網(wǎng)購、網(wǎng)銀賬戶，尤其是對(duì)那些沒有明確采取補(bǔ)救措施的網(wǎng)站，更應(yīng)該謹(jǐn)慎避免泄密風(fēng)險(xiǎn)。在網(wǎng)站完成修復(fù)升級(jí)后，及時(shí)修改密碼，避免引發(fā)次生危害。

　　多個(gè)電商均稱不受影響

　　安全專家提醒仍需小心

　　“OpenSSL”漏洞到底有多少網(wǎng)站受影響？據(jù)互聯(lián)網(wǎng)安全公司360(下簡稱“360”)介紹，“心臟出血”漏洞將影響至少兩億中國網(wǎng)民。

　　據(jù)360介紹，全球開放443端口的主機(jī)共有40041126個(gè)，受OpenSSL“心臟出血”漏洞影響的主機(jī)有32335個(gè)，連北京大學(xué)和清華大學(xué)都存在“心臟出血”漏洞。360已經(jīng)緊急通知清華大學(xué)和北京大學(xué)進(jìn)行修復(fù)。

　　不過，電商企業(yè)紛紛表示未受到影響，或已修復(fù)處理完畢。其中，1號(hào)店方面表示，公司的技術(shù)人員4月8日已經(jīng)充分評(píng)估過該漏洞對(duì)1號(hào)店系統(tǒng)的影響，目前1號(hào)店在線業(yè)務(wù)系統(tǒng)都是安全的，不受該漏洞的任何影響。阿里巴巴(滾動(dòng)資訊)表示，旗下包括淘寶、天貓等電商平臺(tái)并未受到事件波及。支付寶相關(guān)負(fù)責(zé)人向記者表示，并未受到安全漏洞影響。騰訊方面則稱，目前相關(guān)的產(chǎn)品業(yè)務(wù)如郵箱、財(cái)付通、QQ、微信等都已經(jīng)修復(fù)完畢，“大家可以放心使用?！?br />
　　不過金山毒霸安全專家李鐵軍認(rèn)為，目前尚無法準(zhǔn)確評(píng)估黑客利用漏洞獲得了多少數(shù)據(jù)，因此普通用戶仍然需要小心為上。李鐵軍表示，對(duì)重要服務(wù)，盡可能開通手機(jī)驗(yàn)證或動(dòng)態(tài)密碼，比如支付寶、郵箱等，登錄重要服務(wù)，不僅需要驗(yàn)證用戶名密碼，最好綁定手機(jī)，加手機(jī)驗(yàn)證碼登錄。李鐵軍還建議用戶修改重要服務(wù)的登錄密碼，“一個(gè)密碼的使用時(shí)間不宜過長，超過3個(gè)月就該換掉了。”

　　通過這個(gè)漏洞可能泄露的內(nèi)容：

　　1.私鑰，所有https站點(diǎn)的加密內(nèi)容全能破解；

　　2.網(wǎng)站用戶密碼，用戶資產(chǎn)如網(wǎng)銀隱私數(shù)據(jù)被盜?。?br />
　　3.服務(wù)器配置和源碼，服務(wù)器可以被攻破；

　　4.服務(wù)器“掛掉”不能提供服務(wù)。

　　網(wǎng)絡(luò)安全專家建議：

　　企業(yè)

　　第一時(shí)間做出反應(yīng)，修補(bǔ)自身漏洞。

　　普通用戶

　　近日在相關(guān)網(wǎng)站升級(jí)修復(fù)前，暫且不要登錄網(wǎng)購、網(wǎng)銀賬戶，尤其是對(duì)那些沒有明確采取補(bǔ)救措施的網(wǎng)站，更應(yīng)該謹(jǐn)慎避免泄密風(fēng)險(xiǎn)。在網(wǎng)站完成修復(fù)升級(jí)后，及時(shí)修改密碼，避免引發(fā)次生危害。