網路驚現核彈級漏洞 2億網民網銀密碼或中招

　　“心臟出血”：OpenSSL的源代碼中存在一個漏洞，可以讓攻擊者獲得伺服器上64K記憶體中的數據內容。這部分數據中，可能存有安全證書、用戶名與密碼等數據。 OpenSSL：是目前網際網路上應用最廣泛的安全傳輸方法。可以形象地説，它是網際網路上銷量最大的門鎖。

　　導讀：OpenSSL日前被曝出本年度最危險的安全漏洞，初步評估有不少於30%的網站中招，其中包括網友們最常用的購物、網銀、社交、門戶等知名網站和服務。利用這一被命名為“心臟出血”的漏洞，駭客可以獲取到以https開頭網址的用戶登錄賬號和密碼、cookie等敏感數據。“心臟出血”漏洞將影響至少兩億中國網民。

　　事件·影響

　　3萬多個網站主機受威脅

　　事實上，最新的調查顯示，4月7日淩晨，國內就出現了針對OpenSSL“心臟出血”漏洞的駭客攻擊跡象。360網站安全檢測平臺對國內120萬家經過授權的網站掃描，其中有3萬多個網站主機受漏洞影響。4月7日、4月8日期間，共計約2億網友訪問了存在漏洞的網站。

　　360安全專家石曉虹博士表示，“心臟出血”漏洞堪稱“網路核彈”，初步評估一批https登錄方式的主流網站，有不少於30%的網站中招，其中包括網銀、網購、網上支付、郵箱、門戶、微信、微博等知名網站和服務。無論用戶電腦多麼安全，只要網站使用了存在漏洞的OpenSSL版本，用戶登錄該網站時就可能被駭客實時監控到登錄賬號和密碼。

　　北京青年報記者了解到，駭客獲取的是離記憶體最近的64K字節的內容，大概是六萬多個字。這其中很可能包含用戶隱私資訊，甚至網站密鑰。

　　網路安全專家、南京翰海源資訊技術有限公司創始人方興表示，通過這個漏洞，可以洩露以下四方面內容：一是私鑰，所有https站點的加密內容全能破解；二是網站用戶密碼，用戶資産如網銀隱私數據被盜取；三是伺服器配置和源碼，伺服器可以被攻破；四是伺服器“挂掉”不能提供服務。

　　百度錢包也發佈聲明稱，近日，OpenSSL漏洞已排山倒海向網際網路安全界襲來，攻擊者可持續讀取伺服器記憶體數據，竊取用戶cookie、密碼等敏感數據，已確定1.0.1—1.0.1f、1.0.2beta1版本均在此列。

　　事件·最新

　　清華等高校網路發現OpenSSL漏洞

　　360網站衛士的OpenSSL漏洞檢測平臺昨天發現，清華大學等幾所高校的某項網路服務存在“心臟出血”漏洞，同時也監測到了有來自北京聯通的一個IP針對這些服務進行漏洞探測，360緊急通知相關高校進行修復。通過進一步分析發現，某高校的網路服務存“心臟出血”漏洞源自於其VPN硬體設備。360提醒用戶，如果通過檢測發現問題，可以第一時間聯繫硬體設備提供商，通過軟體升級或降級等方式進行修復。

　　事件·提示

　　登錄網站最好先檢測是否存漏洞

　　經360網路攻防實驗室檢測發現，全球開放443端口的主機共有40041126個，其中受OpenSSL“心臟出血”漏洞影響的主機有32335個。

　　360已經第一時間向12萬網站用戶發送提醒郵件，提醒廣大站長儘快將OpenSSL升級至 1.0.1g版本，以修復該漏洞。

　　為幫助用戶避免相應風險，360網站衛士推出OpenSSL漏洞線上檢查工具(http://wangzhan.360.cn/heartbleed)，輸入網址就能夠檢測網站是否存在該漏洞。

　　石曉虹提醒廣大網際網路服務商，儘快將OpenSSL升級至1.0.1g版本進行修復。同時建議廣大網友，在此漏洞得到修復前，暫時不要在受到漏洞影響的網站上登錄賬號，尤其是對那些沒有明確採取補救措施的網站，更應該謹慎避免泄密風險。在網站完成修復升級後，及時修改密碼。

　　事件·應對

　　國內網路公司均稱“已修復”漏洞

　　對於OpenSSL存在的漏洞，昨天，阿里巴巴、騰訊、百度、360、京東等中國網際網路公司均表示，已第一時間對漏洞進行了修復。

　　騰訊和阿里巴巴均回應稱，已在第一時間對OpenSSL某些存在基礎協議通用漏洞的版本進行了修復處理，目前已經處理完畢，騰訊包括郵箱、財付通、QQ、微信等産品和網站，阿裏包括淘寶、天貓、支付寶等各網站都確認可以放心使用。

　　阿裏小微金融服務集團(籌)首席風險官胡曉明稱，通過4月8日一晚上的通宵工作，已經完全修復了OpenSSL出現漏洞後的安全資訊問題，並重新回顧了這個時間點支付寶加密機制是否存在問題，沒有發現任何問題。

　　百度錢包稱，在這次風暴中未受影響，請大家繼續安心使用。京東表示，已對系統全面排查並升級，目前不建議用戶修改密碼。

　　360公司相關負責人也表示，360歷來有一個漏洞檢索機制，4月8日上午10點28分抓取到了這個漏洞資訊，立即開始自我評估，搜索自己哪些伺服器使用了OpenSSL協議，最後獲得了一個伺服器列表，一共有100-200台伺服器受到影響，然後立刻要求伺服器團隊開始修復，整個修復過程持續到4月9日淩晨5點多。

　　事件·後續

　　技術專家稱修復並不意味著安全

　　北京知道創宇資訊技術有限公司持續監測發現，一些公司升級了OpenSSL；一些公司選擇暫停SSL服務，仍繼續使用其主要功能；有的為規避風險，乾脆暫停網站全部服務；更有一部分根本沒有採取任何措施。

　　對於以上公司的處理方式，方興認為，相對於當前可能出現的資訊泄密和財産損失，其影響將是持久深遠的，並不是此次修復漏洞後就安全了，攻擊者還可以利用獲得的數據進行更大程度上的破壞。

　　一位安全行業人士透露，他在某著名電商網站上用這個漏洞嘗試讀取數據，在讀取200次後，獲得了40多個用戶名、7個密碼，用這些密碼，他成功地登錄了該網站。

　　事件·觀察

　　國家級應急響應亟待優化

　　對於此次OpenSSL漏洞給中國網際網路企業帶來的系統性風險，有專家指出，出於安全考慮，政府有關職能部門應在第一時間向全國發出警報。但從目前反應出的情況來看，我國重大安全事件的緊急處置及聯動機制還不夠健全。

　　國家應急中心一位負責人也指出，我國從2003年起，就開始試圖建立漏洞觸發機制，但這一塊工作的細化和操作在實踐層面還缺乏清晰的路徑。

　　中國電腦學會資訊安全專業委員會主任嚴明認為，對於政府職能部門，目前公安或者其他相關部門應當立即啟動應急措施，促進通報漏洞資訊，並強制推動所有受到漏洞影響的網站進行技術升級和修補。在這一階段完成後，再對那些出現了財産侵佔的非法行為進行查處追責。

　　對於企業而言，則要第一時間做出反應，修補自身漏洞，比如該漏洞8日被公佈，一些企業到了9日才開始補救，一些甚至還無動於衷。

　　本版