“地震级”灾害突袭互联网 漏洞威胁网络安全 -科技频道-金鱼财经网

杨小丹

8日夜间，常用于电商、网银等安全性极高网站的网络安全协议Open SSL被曝出存在安全漏洞，危及全球包括银行、电商在内关键部门和普通用户财产和信息安全。这一漏洞一旦被恶意利用，意味着用户登录这些电商、网银的账户、密码等关键信息都将泄露。

众多知名网站受影响

北京知道创宇信息技术有限公司研究部总监钟晨鸣表示，此次漏洞会影响为数众多的使用https的网站，包括公众熟知并且经常访问的雅虎、微信、淘宝、各个网银、社交、门户等知名网站，而且越是知名的大网站，越是容易受到不法分子利用漏洞进行的攻击。

据南京翰海源信息技术有限公司创始人方兴介绍，通俗来讲，通过这个漏洞，可以泄露以下四方面内容：一是私钥，所有https站点的加密内容全能破解；二是网站用户密码，用户资产如网银隐私数据被盗取；三是服务器配置和源码，服务器可以被攻破；四是服务器挂掉不能提供服务。

360安全专家石晓虹表示，OpenSSL“心脏出血”漏洞为本年度互联网上最严重的安全漏洞，影响至少两亿中国网民，初步评估一批https登录方式的主流网站，有不少于30%的网站中招，其中包括大家最常用的购物、网银、社交、门户、微博、微信、邮箱等知名网站和服务。

黑客与安全卫士赛跑

一位安全行业人士透露，他在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功地登录了该网站。

这一漏洞被曝出后，全球的黑客与安全保卫者们展开了竞赛。黑客在不停地试探各类服务器，试图从漏洞中抓取到尽量多的用户数据；安全保卫者则在尽可能短的时间里升级系统、弥补漏洞，实在来不及实施的则暂时关闭某些服务。

漏洞已存在两年多

钟晨鸣说，这个漏洞实际上出现于2012年，至今两年多，谁也不知道是否已经有黑客利用漏洞获取了用户资料；而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹，所以目前还没有办法确认哪些服务器被入侵，也就没法定位损失、确认泄露信息，从而通知用户进行补救。

国家应急中心直到9日才开始联动，响应并不及时。该中心一名专家坦陈，从2003年，国家应急中心就试图建立漏洞触发的相关应急工作和能力，但是这一领域的工作到现在也不够清晰，需要新的能力架构设计。“纯事件触发有时太晚太被动，2001年至2004年有很多教训，技术上存在适当前移的可能。”

第一反应

众网站紧急修复漏洞

昨日，大量网站已开始紧急修复此OpenSSL高危漏洞，但是修复此漏洞普遍需要半个小时到一个小时时间，大型网站修复时间会更长一些。安全分析系统ZoomEye仍在持续不断地给全球服务器“体检”。

淘宝方面表示，针对OpenSSL的问题，淘宝网已经在第一时间进行了处理和修复，目前已经处理完毕，从目前监控的情况来看，未发现账户异常。支付宝则称并未受到影响。

京东方面表示，系统已全面排查并升级，可以避免这次漏洞的侵袭。

腾讯电脑管家表示，本次曝出的OpenSSL漏洞涉及范围广泛，呼吁各网站尽快升级系统、修复漏洞，保障用户账号安全。另外，管家也提醒用户这两天谨慎登录各类网站，在线支付时要格外小心，近期最好修改一下自己的密码。

雅虎发布声明称其团队已经将雅虎主要的网站都进行了修复，包括雅虎主页、雅虎搜索、雅虎邮箱、雅虎财经、雅虎体育、雅虎美食、雅虎科技以及Flickr和Tumblr，其余网站的修复还在进行中。

截至昨日18时，记者通过安全分析系统ZoomEye看到，包括12306铁路客户服务中心、微信公众号、微信网页版、淘宝网、支付宝、360应用等知名网站已对漏洞进行了修复。

关键词

OpenSSL

不少网站使用加密代码来保护如用户名、密码和信用卡号等数据，这能够防止黑客通过网络盗取个人信息。这种加密协议被称为SSL(Secure Sockets Layer安全套接层)或TLS(Transport Layer Security Protocol安全传输层协议)。当一个网站使用这种安全协议，浏览器中的地址栏旁会出现挂锁图标。由于编写加密代码十分复杂，所以很多网站使用一种开源的免费安全协议，即OpenSSL。

此次OpenSSL被发现黑客可以利用一个漏洞从服务器内存中窃取64KB数据。64KB数据量并不大，但黑客可以重复利用该漏洞，多次窃取数据，并可能因此获得用户的加密密钥，解密敏感数据。

专家观点

银行U盾可放心使用

CFCA技术专家龚喜杰则发文称，银行的网银系统均使用商业级的SSL设备，很少有采用开源软件实现的，即使有也很少使用这个系列版本，而且该类设备也不支持该开源软件中造成漏洞的heartbeat扩展，所以影响较小。

此外，这个漏洞与U盾的安全性没有什么联系，因为用户的交易敏感信息是通过USB接口送入U盾后，在U盾内部进行加密和数字签名运算，SSL协议是对U盾加密签名后的数据再进行一次加密。OpenSSL的漏洞对U盾没有影响，U盾完全可以放心使用。

暂时不去网上交易

安全专家同时建议，如果你登录过有风险但已修复的网站，最好马上修改密码，而且在各大互联网服务商完成版本升级之前，尽可能不去登录或进行交易活动。

同时，登录支付宝、邮箱等服务，尽可能开通手机验证或动态密码，这样就算黑客拿到账户密码，登录还有另一道门槛。此外，一个密码的使用时间不宜过长，最好能几个月以后就更换。

信报记者 杨小丹 综合新华社电