從2001年8月24日正式發(fā)布到今天，XP陪著許多人走過了十三年的歲月風(fēng)雨，不管是在操作系統(tǒng)還是軟件行業(yè)，這是一款偉大的產(chǎn)品，都是我們這個時代的額福利。在WindowsXP停服的同一天，網(wǎng)絡(luò)安全協(xié)議OpenSSL曝出安全漏洞，危及全球包括銀行、電商在內(nèi)關(guān)鍵部門和普通用戶財產(chǎn)和信息安全。這一漏洞一旦被惡意利用，意味著用戶登錄電商、網(wǎng)銀的賬戶、密碼等關(guān)鍵信息可能會泄露，造成財產(chǎn)損失。

波及無數(shù)

中國3萬多端口受影響

4月8日，在全球范圍內(nèi)，互聯(lián)網(wǎng)發(fā)生了兩件大事，分別是：微軟正式宣布XP停止服務(wù)退役;OpenSSL的大漏洞曝光。如果說XP停服存隱憂的話，那么第二件事帶來的威脅則近在咫尺，用戶的信息安全和財產(chǎn)安全已直接受到威脅。

ZoomEye最新完成的掃描數(shù)據(jù)顯示，中國160萬個443端口中，已有3.3萬個受本次OpenSSL漏洞影響。在國外，受到波及的網(wǎng)站也數(shù)不勝數(shù)，連NASA(美國航空航天局)也已宣布，用戶數(shù)據(jù)庫遭泄露。

安天實驗室首席架構(gòu)師肖新光發(fā)出警告說，“這一次，狼真的來了”。

誰受影響

以https開頭所有站點

一位安全行業(yè)人士透露，他在某著名電商網(wǎng)站上用這個漏洞嘗試讀取數(shù)據(jù)，在讀取200次后，獲得了40多個用戶名、7個密碼，用這些密碼，他成功地登錄了該網(wǎng)站。

北京知道創(chuàng)宇信息技術(shù)有限公司研究部總監(jiān)鐘晨鳴表示，此次漏洞會影響為數(shù)眾多的使用https的網(wǎng)站，其中包括公眾熟知并且經(jīng)常訪問的微信、淘寶、各個網(wǎng)銀、社交、門戶等知名網(wǎng)站還有郵箱。而且越是知名的大網(wǎng)站，越容易受到不法分子利用漏洞進(jìn)行攻擊。

據(jù)介紹，這一漏洞由安全公司Codenomicon和谷歌安全工程師獨(dú)立發(fā)現(xiàn)。發(fā)現(xiàn)者們給這個漏洞起了個形象的名字：heartbleed——心臟出血。

“這個漏洞是地震級別的。”中國計算機(jī)學(xué)會信息安全專業(yè)委員會主任嚴(yán)明說，目前受害的用戶具體數(shù)字還難以知曉，要到過后才能統(tǒng)計出來。“打個形象的比喻，就像家里的門很堅固也鎖好了，但是發(fā)現(xiàn)窗戶虛掩著。”

存在兩年

損失多大無法確認(rèn)

這一漏洞被曝出后，全球的“黑客”與安全保衛(wèi)者們展開了競賽。“黑客”不停地試探各類服務(wù)器，試圖從漏洞中抓取到盡量多的用戶數(shù)據(jù);安全保衛(wèi)者則在盡可能短的時間里升級系統(tǒng)、彌補(bǔ)漏洞，實在來不及實施的則暫時關(guān)閉某些服務(wù)。

然而，很多受到該漏洞威脅的公司并未認(rèn)識到問題的嚴(yán)重性。北京知道創(chuàng)宇信息技術(shù)有限公司持續(xù)監(jiān)測發(fā)現(xiàn)，一些機(jī)構(gòu)升級了OpenSSL，如360、百度等;一些選擇暫停SSL服務(wù)，仍繼續(xù)使用其主要功能，如微信;有的為規(guī)避風(fēng)險，干脆暫停網(wǎng)站全部服務(wù);更有一部分根本未采取任何措施。

鐘晨鳴說，這個漏洞實際上出現(xiàn)于2012年，至今兩年多，誰也不知道是否已經(jīng)有黑客利用漏洞獲取了用戶資料;而且由于該漏洞即使被入侵也不會在服務(wù)器日志中留下痕跡，所以目前還沒有辦法確認(rèn)哪些服務(wù)器被入侵，也就沒法定位損失、確認(rèn)泄漏信息，從而通知用戶進(jìn)行補(bǔ)救。

亟待反思

國家級應(yīng)急響應(yīng)不力

中國科學(xué)院相關(guān)專業(yè)人士指出，這是考驗中國互聯(lián)網(wǎng)系統(tǒng)應(yīng)急能力的重要時刻。但從目前反應(yīng)情況來看，我國重大安全事件的緊急處置及聯(lián)動機(jī)制還不夠健全。國家應(yīng)急中心直到9日才開始聯(lián)動。

該中心一名專家坦陳，從2003年，國家應(yīng)急中心就試圖建立漏洞觸發(fā)的相關(guān)應(yīng)急工作和能力，但是這一領(lǐng)域的工作到現(xiàn)在也不夠清晰，需要新的能力架構(gòu)設(shè)計。“純事件觸發(fā)有時太晚太被動，2001年至2004年有很多教訓(xùn)，技術(shù)上存在適當(dāng)前移的可能。”

“當(dāng)前最為緊急的事情，是減少損失范圍。”嚴(yán)明說，對于政府職能部門，目前公安或者其他相關(guān)部門應(yīng)當(dāng)立即啟動應(yīng)急措施，促進(jìn)通報漏洞信息，并強(qiáng)制推動所有受到漏洞影響的網(wǎng)站進(jìn)行技術(shù)升級和修補(bǔ)。在這一階段完成后，再對那些出現(xiàn)了財產(chǎn)侵占的非法行為進(jìn)行查處追責(zé)。對于企業(yè)而言，則要第一時間作出反應(yīng)，修補(bǔ)自身漏洞，比如該漏洞8日被公布，一些企業(yè)到了9日才開始補(bǔ)救，一些甚至還無動于衷。

“心臟出血”四大惡果

一是私鑰，所有https站點的加密內(nèi)容全能破解;

二是網(wǎng)站用戶密碼，用戶資產(chǎn)如網(wǎng)銀隱私數(shù)據(jù)被盜取;

三是服務(wù)器配置和源碼，服務(wù)器可以被攻破;

四是服務(wù)器“掛掉”不能提供服務(wù)。

專家建議

暫停網(wǎng)購 別用網(wǎng)銀

對于普通用戶，安全領(lǐng)域?qū)＜医ㄗh，近日在相關(guān)網(wǎng)站升級修復(fù)前，建議暫且不要登錄網(wǎng)購、網(wǎng)銀賬戶，尤其是對那些沒有明確采取補(bǔ)救措施的網(wǎng)站，更應(yīng)該謹(jǐn)慎避免泄密風(fēng)險。在網(wǎng)站完成修復(fù)升級后，及時修改密碼，避免引發(fā)次生危害。

新聞名詞

什么是OpenSSL

openssl是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議，并提供了豐富的應(yīng)用程序供測試或其它目的使用。

openssl有什么用

基本功能

OpenSSL整個軟件包大概可以分成三個主要的功能部分：密碼算法庫、SSL協(xié)議庫以及應(yīng)用程序。OpenSSL的目錄結(jié)構(gòu)自然也是圍繞這三個功能部分進(jìn)行規(guī)劃的。

作為一個基于密碼學(xué)的安全開發(fā)包，OpenSSL提供的功能相當(dāng)強(qiáng)大和全面，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議，并提供了豐富的應(yīng)用程序供測試或其它目的使用。

輔助功能

BIO機(jī)制是OpenSSL提供的一種高層IO接口，該接口封裝了幾乎所有類型的IO接口，如內(nèi)存訪問、文件訪問以及Socket等。這使得代碼的重用性大幅度提高，OpenSSL提供API的復(fù)雜性也降低了很多。

OpenSSL對于隨機(jī)數(shù)的生成和管理也提供了一整套的解決方法和支持API函數(shù)。隨機(jī)數(shù)的好壞是決定一個密鑰是否安全的重要前提。

OpenSSL還提供了其它的一些輔助功能，如從口令生成密鑰的API，證書簽發(fā)和管理中的配置文件機(jī)制等等。如果你有足夠的耐心，將會在深入使用OpenSSL的過程慢慢發(fā)現(xiàn)很多這樣的小功能，讓你不斷有新的驚喜。

更多關(guān)于OpenSSL漏洞消息請關(guān)注甩手網(wǎng)電商行業(yè)資訊（www.qdxinzhong.com ）