8日晚，“黑客”迎來狂歡之夜，網(wǎng)絡安全協(xié)議OpenSLL曝出安全漏洞，讓他們借機肆意掃描網(wǎng)站數(shù)據(jù)庫，用戶登錄電商、網(wǎng)銀的賬戶、密碼等關鍵信息可能會泄露，造成財產(chǎn)損失。黑客和安全保衛(wèi)者正在進行“你盜我堵”的瘋狂賽跑，在這一過程中，也暴露出我國在網(wǎng)絡安全防護方面存在軟肋。

　　網(wǎng)絡地震來襲

　　微信淘寶網(wǎng)銀均會受影響

　　一位安全行業(yè)人士在某著名電商網(wǎng)站上用這個漏洞嘗試讀取數(shù)據(jù)，在讀取200次后，獲得了40多個用戶名、7個密碼，用這些密碼，他成功地登錄了該網(wǎng)站

　　4月8日，互聯(lián)網(wǎng)發(fā)生了兩件大事，分別是：微軟正式宣布XP停止服務退役；OpenSSL的大漏洞曝光。如果說XP停服存隱憂的話，那么第二件事帶來的威脅則近在咫尺，用戶的信息安全和財產(chǎn)安全已直接受到威脅。

　　ZoomEye最新完成的掃描數(shù)據(jù)顯示，全國160萬個443端口中，已有3.3萬個受本次OpenSSL漏洞影響。在國外，受到波及的網(wǎng)站也數(shù)不勝數(shù)，連NASA(美國航空航天局)也已宣布，用戶數(shù)據(jù)庫遭泄露。

　　一安全行業(yè)人士透露，他在某著名電商網(wǎng)站用這個漏洞嘗試讀取數(shù)據(jù)，讀取200次后獲得40多個用戶名、7個密碼，用這些密碼，他成功地登錄了該網(wǎng)站。

　　北京知道創(chuàng)宇信息技術有限公司研究部總監(jiān)鐘晨鳴表示，此次漏洞會影響為數(shù)眾多的使用https的網(wǎng)站，其中包括公眾熟知并且經(jīng)常訪問的微信、淘寶、各個網(wǎng)銀、社交、門戶等知名網(wǎng)站。而且越是知名的大網(wǎng)站，越容易受到不法分子利用漏洞進行攻擊。

　　據(jù)介紹，這一漏洞的發(fā)現(xiàn)者們給這個漏洞起了個形象的名字：heartbleed——心臟出血。

　　“這個漏洞是地震級別的?！敝袊嬎銠C學會信息安全專業(yè)委員會主任嚴明說，目前受害的用戶具體數(shù)字還難以知曉，要到過后才能統(tǒng)計出來?！按騻€形象的比喻，就像家里的門很堅固也鎖好了，但是發(fā)現(xiàn)窗戶虛掩著?！?br />
　　威脅長期存在

　　并非此次修復漏洞就安全

　　該漏洞即使被入侵也不會在服務器日志中留下痕跡，攻擊者可以利用已獲得的數(shù)據(jù)進行更大程度上的破壞

　　8日夜，被安全領域業(yè)內(nèi)稱為是“‘黑客’的狂歡之夜”。

　　漏洞曝出后，全球的“黑客”與安全保衛(wèi)者展開了競賽?！昂诳汀辈煌５卦囂礁黝惙掌鳎噲D從漏洞中抓取盡量多的用戶數(shù)據(jù)；安全保衛(wèi)者則在盡可能短的時間里升級系統(tǒng)、彌補漏洞。

　　網(wǎng)絡安全專家、南京翰海源信息技術有限公司創(chuàng)始人方興說，通過這個漏洞，可以泄露以下四方面內(nèi)容：一是私鑰，所有https站點的加密內(nèi)容全能破解；二是網(wǎng)站用戶密碼，用戶資產(chǎn)如網(wǎng)銀隱私數(shù)據(jù)被盜??；三是服務器配置和源碼，服務器可以被攻破；四是服務器“掛掉”不能提供服務。

　　然而，很多公司并沒認識到問題的重要性。北京知道創(chuàng)宇信息技術有限公司持續(xù)監(jiān)測發(fā)現(xiàn)，一些機構升級了OpenSSL，如360、百度等；一些選擇暫停SSL服務，仍繼續(xù)使用其主要功能，如微信；有的為規(guī)避風險，干脆暫停網(wǎng)站全部服務；更有一部分根本沒有采取任何措施。

　　鐘晨鳴說，這個漏洞實際上出現(xiàn)于2012年，至今兩年多，誰也不知道是否已有黑客利用漏洞獲取了用戶資料；而且由于該漏洞即使被入侵也不會在服務器日志中留下痕跡，所以目前還沒辦法確認哪些服務器被入侵，也就沒法定位損失、確認泄漏信息，從而通知用戶進行補救。

　　相對于當前可能出現(xiàn)的信息泄密和財產(chǎn)損失，方興說，它的影響將是持久深遠的，并不是此次修復漏洞后就安全了，攻擊者還可以利用獲得的數(shù)據(jù)進行更大程度上的破壞。

　　網(wǎng)安存在軟肋

　　國家級應急響應亟待優(yōu)化

　　從2003年起，國家應急中心就試圖建立漏洞觸發(fā)的相關應急工作和能力，但這一領域的工作到現(xiàn)在也不夠清晰

　　國家應急中心直到9日才開始聯(lián)動。中心一名專家坦陳，2003年起，國家應急中心就試圖建立漏洞觸發(fā)的相關應急工作和能力，但是這一領域的工作到現(xiàn)在也不夠清晰，需要新的能力架構設計?！凹兪录|發(fā)有時太晚太被動，2001年至2004年有很多教訓，技術上存在適當前移的可能?！?br />
　　中科院相關專業(yè)人士指出，這是考驗我國互聯(lián)網(wǎng)系統(tǒng)應急能力的重要時刻。出于安全考慮，政府有關職能部門應在第一時間向全國發(fā)出警報。能否在此次突發(fā)事件中有所作為，是對相關部門的一塊試金石。但從目前反應情況來看，我國重大安全事件的緊急處置及聯(lián)動機制還不夠健全。

　　“當前最為緊急的事情，是減少損失范圍”，嚴明說，對于政府職能部門，目前公安或者其他相關部門應當立即啟動應急措施，促進通報漏洞信息，并強制推動所有受到漏洞影響的網(wǎng)站進行技術升級和修補。在這一階段完成后，再對那些出現(xiàn)了財產(chǎn)侵占的非法行為進行查處追責。對于企業(yè)而言，則要第一時間做出反應，修補自身漏洞，比如該漏洞8日被公布，一些企業(yè)到了9日才開始補救，一些甚至還無動于衷。

　　對于普通用戶，安全領域?qū)＜医ㄗh，近日在相關網(wǎng)站升級修復前，建議暫且不要登錄網(wǎng)購、網(wǎng)銀賬戶，尤其是對那些沒有明確采取補救措施的網(wǎng)站，更應該謹慎避免泄密風險。在網(wǎng)站完成修復升級后，及時修改密碼，避免引發(fā)次生危害。

　　多個電商均稱不受影響

　　安全專家提醒仍需小心

　　“OpenSSL”漏洞到底有多少網(wǎng)站受影響？據(jù)互聯(lián)網(wǎng)安全公司360(下簡稱“360”)介紹，“心臟出血”漏洞將影響至少兩億中國網(wǎng)民。

　　據(jù)360介紹，全球開放443端口的主機共有40041126個，受OpenSSL“心臟出血”漏洞影響的主機有32335個，連北京大學和清華大學都存在“心臟出血”漏洞。360已經(jīng)緊急通知清華大學和北京大學進行修復。

　　不過，電商企業(yè)紛紛表示未受到影響，或已修復處理完畢。其中，1號店方面表示，公司的技術人員4月8日已經(jīng)充分評估過該漏洞對1號店系統(tǒng)的影響，目前1號店在線業(yè)務系統(tǒng)都是安全的，不受該漏洞的任何影響。阿里巴巴(滾動資訊)表示，旗下包括淘寶、天貓等電商平臺并未受到事件波及。支付寶相關負責人向記者表示，并未受到安全漏洞影響。騰訊方面則稱，目前相關的產(chǎn)品業(yè)務如郵箱、財付通、QQ、微信等都已經(jīng)修復完畢，“大家可以放心使用?！?br />
　　不過金山毒霸安全專家李鐵軍認為，目前尚無法準確評估黑客利用漏洞獲得了多少數(shù)據(jù)，因此普通用戶仍然需要小心為上。李鐵軍表示，對重要服務，盡可能開通手機驗證或動態(tài)密碼，比如支付寶、郵箱等，登錄重要服務，不僅需要驗證用戶名密碼，最好綁定手機，加手機驗證碼登錄。李鐵軍還建議用戶修改重要服務的登錄密碼，“一個密碼的使用時間不宜過長，超過3個月就該換掉了?！?br />
　　通過這個漏洞可能泄露的內(nèi)容：

　　1.私鑰，所有https站點的加密內(nèi)容全能破解；

　　2.網(wǎng)站用戶密碼，用戶資產(chǎn)如網(wǎng)銀隱私數(shù)據(jù)被盜??；

　　3.服務器配置和源碼，服務器可以被攻破；

　　4.服務器“掛掉”不能提供服務。

　　網(wǎng)絡安全專家建議：

　　企業(yè)

　　第一時間做出反應，修補自身漏洞。

　　普通用戶

　　近日在相關網(wǎng)站升級修復前，暫且不要登錄網(wǎng)購、網(wǎng)銀賬戶，尤其是對那些沒有明確采取補救措施的網(wǎng)站，更應該謹慎避免泄密風險。在網(wǎng)站完成修復升級后，及時修改密碼，避免引發(fā)次生危害。