什么是OpenSSL,互联网"心脏"出现大安全漏洞,账号密码遭泄露

2014-04-10 15:39:25 人气：3560

从2001年8月24日正式发布到今天，XP陪着许多人走过了十三年的岁月风雨，不管是在操作系统还是软件行业，这是一款伟大的产品，都是我们这个时代的额福利。在WindowsXP停服的同一天，网络安全协议OpenSSL曝出安全漏洞，危及全球包括银行、电商在内关键部门和普通用户财产和信息安全。这一漏洞一旦被恶意利用，意味着用户登录电商、网银的账户、密码等关键信息可能会泄露，造成财产损失。

波及无数

中国3万多端口受影响

4月8日，在全球范围内，互联网发生了两件大事，分别是：微软正式宣布XP停止服务退役;OpenSSL的大漏洞曝光。如果说XP停服存隐忧的话，那么第二件事带来的威胁则近在咫尺，用户的信息安全和财产安全已直接受到威胁。

ZoomEye最新完成的扫描数据显示，中国160万个443端口中，已有3.3万个受本次OpenSSL漏洞影响。在国外，受到波及的网站也数不胜数，连NASA(美国航空航天局)也已宣布，用户数据库遭泄露。

安天实验室首席架构师肖新光发出警告说，“这一次，狼真的来了”。

谁受影响

以https开头所有站点

一位安全行业人士透露，他在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功地登录了该网站。

北京知道创宇信息技术有限公司研究部总监钟晨鸣表示，此次漏洞会影响为数众多的使用https的网站，其中包括公众熟知并且经常访问的微信、淘宝、各个网银、社交、门户等知名网站还有邮箱。而且越是知名的大网站，越容易受到不法分子利用漏洞进行攻击。

据介绍，这一漏洞由安全公司Codenomicon和谷歌安全工程师独立发现。发现者们给这个漏洞起了个形象的名字：heartbleed——心脏出血。

“这个漏洞是地震级别的。”中国计算机学会信息安全专业委员会主任严明说，目前受害的用户具体数字还难以知晓，要到过后才能统计出来。“打个形象的比喻，就像家里的门很坚固也锁好了，但是发现窗户虚掩着。”

存在两年

损失多大无法确认

这一漏洞被曝出后，全球的“黑客”与安全保卫者们展开了竞赛。“黑客”不停地试探各类服务器，试图从漏洞中抓取到尽量多的用户数据;安全保卫者则在尽可能短的时间里升级系统、弥补漏洞，实在来不及实施的则暂时关闭某些服务。

然而，很多受到该漏洞威胁的公司并未认识到问题的严重性。北京知道创宇信息技术有限公司持续监测发现，一些机构升级了OpenSSL，如360、百度等;一些选择暂停SSL服务，仍继续使用其主要功能，如微信;有的为规避风险，干脆暂停网站全部服务;更有一部分根本未采取任何措施。

钟晨鸣说，这个漏洞实际上出现于2012年，至今两年多，谁也不知道是否已经有黑客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹，所以目前还没有办法确认哪些服务器被入侵，也就没法定位损失、确认泄漏信息，从而通知用户进行补救。

亟待反思

国家级应急响应不力

中国科学院相关专业人士指出，这是考验中国互联网系统应急能力的重要时刻。但从目前反应情况来看，我国重大安全事件的紧急处置及联动机制还不够健全。国家应急中心直到9日才开始联动。

该中心一名专家坦陈，从2003年，国家应急中心就试图建立漏洞触发的相关应急工作和能力，但是这一领域的工作到现在也不够清晰，需要新的能力架构设计。“纯事件触发有时太晚太被动，2001年至2004年有很多教训，技术上存在适当前移的可能。”

“当前最为紧急的事情，是减少损失范围。”严明说，对于政府职能部门，目前公安或者其他相关部门应当立即启动应急措施，促进通报漏洞信息，并强制推动所有受到漏洞影响的网站进行技术升级和修补。在这一阶段完成后，再对那些出现了财产侵占的非法行为进行查处追责。对于企业而言，则要第一时间作出反应，修补自身漏洞，比如该漏洞8日被公布，一些企业到了9日才开始补救，一些甚至还无动于衷。

“心脏出血”四大恶果

一是私钥，所有https站点的加密内容全能破解;

二是网站用户密码，用户资产如网银隐私数据被盗取;

三是服务器配置和源码，服务器可以被攻破;

四是服务器“挂掉”不能提供服务。

专家建议

暂停网购别用网银

对于普通用户，安全领域专家建议，近日在相关网站升级修复前，建议暂且不要登录网购、网银账户，尤其是对那些没有明确采取补救措施的网站，更应该谨慎避免泄密风险。在网站完成修复升级后，及时修改密码，避免引发次生危害。

新闻名词

什么是OpenSSL

openssl是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，并提供了丰富的应用程序供测试或其它目的使用。

openssl有什么用