什么是OpenSSL,互聯網"心臟"出現大安全漏洞,賬號密碼遭泄露

2014-04-10 15:39:25 人氣：4256

從2001年8月24日正式發布到今天，XP陪著許多人走過了十三年的歲月風雨，不管是在操作系統還是軟件行業，這是一款偉大的產品，都是我們這個時代的額福利。在WindowsXP停服的同一天，網絡安全協議OpenSSL曝出安全漏洞，危及全球包括銀行、電商在內關鍵部門和普通用戶財產和信息安全。這一漏洞一旦被惡意利用，意味著用戶登錄電商、網銀的賬戶、密碼等關鍵信息可能會泄露，造成財產損失。

波及無數

中國3萬多端口受影響

4月8日，在全球范圍內，互聯網發生了兩件大事，分別是：微軟正式宣布XP停止服務退役;OpenSSL的大漏洞曝光。如果說XP停服存隱憂的話，那么第二件事帶來的威脅則近在咫尺，用戶的信息安全和財產安全已直接受到威脅。

ZoomEye最新完成的掃描數據顯示，中國160萬個443端口中，已有3.3萬個受本次OpenSSL漏洞影響。在國外，受到波及的網站也數不勝數，連NASA(美國航空航天局)也已宣布，用戶數據庫遭泄露。

安天實驗室首席架構師肖新光發出警告說，“這一次，狼真的來了”。

誰受影響

以https開頭所有站點

一位安全行業人士透露，他在某著名電商網站上用這個漏洞嘗試讀取數據，在讀取200次后，獲得了40多個用戶名、7個密碼，用這些密碼，他成功地登錄了該網站。

北京知道創宇信息技術有限公司研究部總監鐘晨鳴表示，此次漏洞會影響為數眾多的使用https的網站，其中包括公眾熟知并且經常訪問的微信、淘寶、各個網銀、社交、門戶等知名網站還有郵箱。而且越是知名的大網站，越容易受到不法分子利用漏洞進行攻擊。

據介紹，這一漏洞由安全公司Codenomicon和谷歌安全工程師獨立發現。發現者們給這個漏洞起了個形象的名字：heartbleed——心臟出血。

“這個漏洞是地震級別的。”中國計算機學會信息安全專業委員會主任嚴明說，目前受害的用戶具體數字還難以知曉，要到過后才能統計出來。“打個形象的比喻，就像家里的門很堅固也鎖好了，但是發現窗戶虛掩著。”

存在兩年

損失多大無法確認

這一漏洞被曝出后，全球的“黑客”與安全保衛者們展開了競賽。“黑客”不停地試探各類服務器，試圖從漏洞中抓取到盡量多的用戶數據;安全保衛者則在盡可能短的時間里升級系統、彌補漏洞，實在來不及實施的則暫時關閉某些服務。

然而，很多受到該漏洞威脅的公司并未認識到問題的嚴重性。北京知道創宇信息技術有限公司持續監測發現，一些機構升級了OpenSSL，如360、百度等;一些選擇暫停SSL服務，仍繼續使用其主要功能，如微信;有的為規避風險，干脆暫停網站全部服務;更有一部分根本未采取任何措施。

鐘晨鳴說，這個漏洞實際上出現于2012年，至今兩年多，誰也不知道是否已經有黑客利用漏洞獲取了用戶資料;而且由于該漏洞即使被入侵也不會在服務器日志中留下痕跡，所以目前還沒有辦法確認哪些服務器被入侵，也就沒法定位損失、確認泄漏信息，從而通知用戶進行補救。

亟待反思

國家級應急響應不力

中國科學院相關專業人士指出，這是考驗中國互聯網系統應急能力的重要時刻。但從目前反應情況來看，我國重大安全事件的緊急處置及聯動機制還不夠健全。國家應急中心直到9日才開始聯動。

該中心一名專家坦陳，從2003年，國家應急中心就試圖建立漏洞觸發的相關應急工作和能力，但是這一領域的工作到現在也不夠清晰，需要新的能力架構設計。“純事件觸發有時太晚太被動，2001年至2004年有很多教訓，技術上存在適當前移的可能。”

“當前最為緊急的事情，是減少損失范圍。”嚴明說，對于政府職能部門，目前公安或者其他相關部門應當立即啟動應急措施，促進通報漏洞信息，并強制推動所有受到漏洞影響的網站進行技術升級和修補。在這一階段完成后，再對那些出現了財產侵占的非法行為進行查處追責。對于企業而言，則要第一時間作出反應，修補自身漏洞，比如該漏洞8日被公布，一些企業到了9日才開始補救，一些甚至還無動于衷。

“心臟出血”四大惡果

一是私鑰，所有https站點的加密內容全能破解;

二是網站用戶密碼，用戶資產如網銀隱私數據被盜取;

三是服務器配置和源碼，服務器可以被攻破;

四是服務器“掛掉”不能提供服務。

專家建議

暫停網購別用網銀

對于普通用戶，安全領域專家建議，近日在相關網站升級修復前，建議暫且不要登錄網購、網銀賬戶，尤其是對那些沒有明確采取補救措施的網站，更應該謹慎避免泄密風險。在網站完成修復升級后，及時修改密碼，避免引發次生危害。

新聞名詞

什么是OpenSSL

openssl是為網絡通信提供安全及數據完整性的一種安全協議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協議，并提供了豐富的應用程序供測試或其它目的使用。

openssl有什么用