網際網路“心臟出血”電商網銀遭受威脅

　　4月8日外媒爆出，研究人員發現OpenSSL漏洞遍及全球網際網路公司，併為其起了個形象的名字“心臟出血”，中國超過3萬台主機受波及，國內網站和安全廠商技術人員為檢查、搶修徹夜未眠。截至昨天，有超30%的主機已經修復，“大站”紛紛表示安全，但技術人士稱，消費者敏感資訊是否洩露還有待日後觀察。

　　京華時報記者廖豐古曉宇祝劍禾顧夢琳高晨京華時報製圖何將

　　□事件

　　OpenSSL漏洞曝光

　　4月8日，OpenSSL的大漏洞曝光，外國駭客將其命名為“heartbleed”，用最致命的內傷“心臟出血”描述事件的嚴重性。該漏洞是由Codenomicon和谷歌安全部門的研究人員獨立發現的。不過據外媒報道，為了將影響降到最低，研究人員已經與OpenSSL團隊和其他關鍵的內部人士展開了合作，在公佈該問題前就已經準備好修復方案。

　　OpenSSL是為網路通信提供安全及數據完整性的一種安全協議，囊括了主要的密碼演算法、常用的密鑰和證書封裝管理功能以及SSL協議，各大網銀、線上支付、電商網站、門戶網站、電子郵件等重要網站上廣泛使用。知道創宇網站安全部總監余弦將OpenSSL形容為“網際網路上銷量最大的門鎖”。此次爆出的這個漏洞，則讓特定版本的OpenSSL成為無需鑰匙即可開啟的廢鎖，入侵者每次可以翻檢戶主的64K資訊，只要有足夠的耐心和時間，他可以翻檢足夠多的數據，拼湊出戶主的銀行密碼、私信等敏感數據。

　　“簡單識別網站應用是否採用SSL加密，只需要看瀏覽器地址欄是http，還是https，後者就是用SSL加密的。通常是非常關鍵的網路服務，比如郵箱、支付、銀行。”金山毒霸安全專家李鐵軍説。

　　“有這樣千載難逢的機會，駭客們是捨不得睡覺的。他們會想盡辦法多獲取一些伺服器上的資訊。”360公司技術副總裁譚曉生説。

　　□影響

　　網際網路安全大地震

　　“這是近兩年來最嚴重的一次網路安全危機。”360公司技術副總裁譚曉生評價，在以https開頭的網站中，初步評估有不少於30%的網站中招，其中包括大家最常用的購物、網銀、社交、門戶等知名網站，而在手機APP的網銀客戶端中，則有至少50%存在風險。

　　據南京翰海源資訊技術有限公司創始人方興介紹，通俗來講，通過這個漏洞，可以洩露以下四方面內容：一是私鑰，所有https站點的加密內容全能破解；二是網站用戶密碼，用戶資産如網銀隱私數據被盜取；三是伺服器配置和源碼，伺服器可以被攻破；四是伺服器挂掉不能提供服務。

　　一位安全行業人士透露，他在某著名電商網站上用這個漏洞嘗試讀取數據，在讀取200次後，獲得了40多個用戶名、7個密碼，用這些密碼，他成功地登錄了該網站。

　　昨天下午，來自知道創宇ZoomEye網路空間搜索引擎的監控顯示，國內有22611台主機受影響，而前天這個數字是33303，可以看到情況正在好轉，超過30%的主機已經修復。

　　“漏洞被挖掘出來以後，帶來的危害並不會非常快地顯現。”瑞星安全專家唐威告訴記者，現階段企業層面能做的也是對使用的OpenSSL進行排查和升級。

　　不過，昨天也有業內人士稱，這個漏洞其實並沒那麼可怕，因為這是一個舊版本OpenSSL的安全漏洞，開發者把伺服器程式升級到OpenSSL1.0.1g就可以解決。

　　□回應

　　銀行銀聯支付不受影響

　　對於OpenSSL的漏洞，有傳言稱即便是銀行網上支付、U盾、銀聯支付也都並不安全。不過，業內人士昨天向記者坦言，該漏洞對銀行網上支付、銀行U盾使用及銀聯的影響幾乎為零。

　　中國金融認證中心應用開發部總經理林峰表示，OpenSSL的這個漏洞是由於代碼實現不嚴謹造成的。這個漏洞存在於OpenSSL1.0.1系列版本中，之前的OpenSSL版本不受影響。天貓、淘寶使用的正是這個系列的版本，所以可以竊取到記憶體中的數據。

　　“如果銀行使用了帶有該漏洞的OpenSSL開源軟體版本，會有一定的影響。但是這個漏洞只是竊取記憶體中的數據，銀行的用戶密碼還有一重加密保護，一般不會在SSL伺服器解密，所以也就很難拿到銀行用戶的密碼。”

　　林峰還表示，其實這個OpenSSL的漏洞和U盾的安全性沒有什麼聯繫，因為用戶的交易敏感資訊是通過USB介面送入U盾後，在U盾內部進行加密和數字簽名運算，SSL協議是對U盾加密簽名後的數據再進行一次傳輸層的加密。這次OpenSSL的漏洞對U盾沒有影響。

　　此外，中國銀聯相關負責人昨天也回應稱，銀聯核心跨行交易系統運營基於專用網路，與漏洞事件無關。該負責人稱，“銀聯線上支付”等基於網際網路的創新業務系統並未使用OpenSSL技術，對於個別週邊供應商可能存在的OpenSSL漏洞，銀聯已通過主動排查，在烏雲網等技術人士公開漏洞事件前就已協調供應商消除了隱患，持卡人可以放心使用。

　　微軟百度稱未受影響

　　昨天，微軟中國方面向記者回應稱，沒有任何微軟産品受到此漏洞的影響。OpenSSL是開源用以實現SSL協議的産品，微軟並沒有在旗下産品和服務中使用此開源的解決方案。據悉，多數商業公司使用的SSL加密都是付費的，與本次暴露出漏洞的OpenSSL關係不大。

　　百度方面也表示，百度錢包不受影響。

　　電商噹噹網表示，噹噹網固有的賬戶體系非常安全，消費者可放心購物。

　　盛大方面表示，盛大通行證的認證主要是通過硬體加密等方式來使用https協議，目前已經和供應商確認過，一方面所使用的OpenSSL版本不是會受影響，另一方面針對有可能出現的安全隱患，已在第一時間通過升級進行了處理。

　　阿裏京東回應已修復

　　昨天早上，此次漏洞事件引發最多泄密擔憂的阿裏係急忙表示漏洞已經修復。阿裏安全回應稱，關於OpenSSL某些版本存在基於基礎協議的通用漏洞，阿裏各網站已經在第一時間進行了修復處理，目前已經處理完畢，包括淘寶、天貓、支付寶等各大網站都確認可以放心使用。其中淘寶方面還透露，從目前監控的情況來看，未發現賬戶異常。

　　京東則表示，已于昨天完成了修補處理，避免了這次漏洞的侵襲。

　　騰訊昨天早上也發聲明稱，騰訊已在第一時間進行處理，目前相關的産品業務如郵箱、財付通、QQ、微信等都已經修復完畢。

　　網易郵箱方面告訴記者，烏雲報告提到的網易郵箱OpenSSL漏洞，經過網易郵箱查證，所列域名都是指向了CDN(內容分發網路)服務，收到報告後網易郵箱第一時間反饋給CDN服務商，當晚已經修復。

　　此外，全球網際網路巨頭雅虎、谷歌和Facebook也紛紛表示已修復漏洞。谷歌表示：“我們已經評估了SSL漏洞，並且給谷歌的關鍵服務打上了補丁。”

　　誰能利用“心臟出血”漏洞？

　　“對於了解這項漏洞的人，要對其加以利用並不困難。”普林斯頓大學電腦科學家菲爾騰説。利用這項漏洞的軟體在網上有很多，雖然這些軟體並不像iPad應用那麼容易使用，但任何擁有基本編程技能的人都能學會它的使用方法。

　　當然，這項漏洞對情報機構的價值或許最大，他們擁有足夠的基礎設施來對用戶流量展開大規模攔截。

　　□消費者應對

　　網站修復漏洞後用戶需修改密碼

　　360公司技術副總裁譚曉生建議，在4月7日和8日兩天登錄過存在漏洞的網站的網友，首先需要確認曾經登錄的網站是否已經進行了升級修復，可看該網站是否發佈相關的公告，也可通過360網站衛士推出的OpenSSL漏洞線上檢查工具，輸入網址檢測網站是否存在該漏洞。如果相關網站已完成了修復，則用戶需要將使用過的用戶名、密碼等個人資訊進行修改；如果登錄過的網站仍然未能完成修復，“那很遺憾，用戶只有坐等對方修復。”

　　金山毒霸安全專家李鐵軍表示，對重要服務，要盡可能開通手機驗證或動態密碼，比如支付寶、郵箱等。

　　“針對OpenSSL漏洞，駭客的攻擊方式是不斷發動數據包攻擊，每次攻擊能夠從伺服器記憶體上得到大小為64K的數據，不過獲得的數據是零散無序的，駭客想要獲得真正有用的資訊，需要把累計獲得的數據進行整理分析，這需要一個時間過程，因此，在這兩天內及時完成密碼修改，就不會有太大的問題。”譚曉生提醒説，不過，即便網站完成修復，也並不意味著天下太平了，未來是否有新的危險還不得而知。

　　此外，在網站漏洞修復前，不要網購或網上支付，以免受到損失。一個密碼的使用時間不宜過長，超過3個月就該換掉了。

　　什麼是SSL？

　　SSL是一種流行的加密技術，可以保護用戶通過網際網路傳輸的隱私資訊。網站採用此加密技術後，第三方無法讀取你與該網站之間的任何通訊資訊。在後臺，通過SSL加密的數據只有接收者才能解密。

　　SSL最早在1994年由網景推出，1990年代以來已經被所有主流瀏覽器採納。

　　什麼是“心臟出血”漏洞？

　　SSL標準包含一個心跳選項，允許SSL連接一端的電腦發出一條簡短的資訊，確認另一端的電腦仍然線上，並獲取反饋。研究人員發現，可以通過巧妙的手段發出惡意心跳資訊，欺騙另一端的電腦洩露機密資訊。受影響的電腦可能會因此而被騙，併發送伺服器記憶體中的資訊。

　　誰發現的這個問題？

　　該漏洞是由Codenomicon和谷歌安全部門的研究人員獨立發現的。為了將影響降到最低，研究人員已經與OpenSSL團隊和其他關鍵的內部人士展開了合作，在公佈該問題前就已經準備好修復方案。