網(wǎng)絡(luò)世界究竟有多大的風(fēng)險(xiǎn)？仿若潘多拉的盒子，答案在一夜間迅速揭開。
本周，安全協(xié)議OpenSSL爆出本年度最嚴(yán)重的安全漏洞Heartbleed，被形象地形容為致命的“心臟出血”。由于使用范圍廣泛，受影響的范圍波及網(wǎng)銀、支付、電商、郵件等多種涉及個(gè)人賬號以及密碼的服務(wù)，而且由于技術(shù)要求不高，使得被信息被盜取的幾率進(jìn)一步加大。O penS S L“心臟出血”漏洞為本年度互聯(lián)網(wǎng)上最嚴(yán)重的安全漏洞，影響至少兩億中國網(wǎng)民。
雖然多家網(wǎng)站都表示已經(jīng)完成了修補(bǔ)處理，但有頂級“白帽”(搜索引擎優(yōu)化業(yè)界，使用正當(dāng)手段優(yōu)化網(wǎng)站的被稱為白帽)向南都記者透露，由于漏洞早在兩年前已經(jīng)被提出，所以這個(gè)漏洞影響了多少網(wǎng)站仍在評估當(dāng)中。金山毒霸安全專家李鐵軍在接受南都記者采訪時(shí)表示，建議用戶在1- 2天后，即網(wǎng)站升級完成后，再登錄網(wǎng)站修改密碼，而不是此時(shí)“送羊入虎口”。
　　危機(jī)在世界范圍內(nèi)引爆
S S L是1 9 9 4年最先由網(wǎng)景(N etscape)推出，自1990年代以來一直面向各款主流瀏覽器，大多數(shù)的SSL加密網(wǎng)站都基于名為O penSSL的開源軟件包。
被曝光的O penSSL為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，
囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議，在一些涉重要個(gè)人信息的網(wǎng)站如網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等服務(wù)上被廣泛使用。
本周，美國方面的研究人員公布該軟件存在一個(gè)會(huì)導(dǎo)致用戶通訊內(nèi)容泄露的重要漏洞，更為致命的是O penSSL存在這種漏洞已有約兩年時(shí)間。利用這一漏洞，黑客坐在自己家里電腦前，就可以實(shí)時(shí)獲取到很多https開頭網(wǎng)址的用戶登錄賬號密碼，包括大批網(wǎng)銀、知名購物網(wǎng)站、電子郵件等。
具體來說，即SSL標(biāo)準(zhǔn)包含一個(gè)心跳選項(xiàng)，允許SSL連接一端的電腦發(fā)出一條簡短的信息，確認(rèn)另一端的電腦仍然在線，并獲取反饋。但研究人員發(fā)現(xiàn)，可以通過其他手段發(fā)出惡意心跳信息，欺騙另一端的電腦泄露機(jī)密信息。受影響的電腦可能會(huì)因此而被騙，并發(fā)送服務(wù)器內(nèi)存中的信息。
李鐵軍告訴南都記者，一般來說如果利用漏洞對技術(shù)的要求越高，那么用戶和企業(yè)受到的影響就會(huì)越小。但此次涉及的漏洞有兩個(gè)特點(diǎn)，一是其涉及的都是最重要的用戶信息，容易導(dǎo)致財(cái)產(chǎn)的損失；二是他對技術(shù)的要求比較低，可利用性非常好，因此危機(jī)一瞬間就在世界范圍內(nèi)引爆。
上述頂級“白帽”告訴南都記者，自漏洞首度被曝光后，這幾天國內(nèi)各大網(wǎng)站已經(jīng)連夜低調(diào)地開始大規(guī)模修復(fù)升級，“白帽”也在加緊測試漏洞影響，除此之外黑客也在加速利用漏洞截取信息。