“地震級”網(wǎng)絡(luò)災(zāi)難降臨部分已修復(fù)威脅仍發(fā)酵

    4月9日，北京知道創(chuàng)宇信息技術(shù)有限公司的員工在進(jìn)行在線監(jiān)測。 常用于電商、網(wǎng)銀等安全性極高網(wǎng)站的網(wǎng)絡(luò)安全協(xié)議Open SLL被曝出存在安全漏洞，危及全球包括銀行、電商在內(nèi)關(guān)鍵部門和普通用戶財產(chǎn)和信息安全。這一漏洞一旦被惡意利用，意味著用戶登錄這些電商、網(wǎng)銀的賬 戶、密碼等關(guān)鍵信息都將泄露。北京知道創(chuàng)宇信息技術(shù)有限公司研究部總監(jiān)鐘晨鳴表示，此次漏洞會影響為數(shù)眾多的使用https的網(wǎng)站，包括公眾熟知并且經(jīng)常 訪問的微信、淘寶、各個網(wǎng)銀、社交、門戶等知名網(wǎng)站，而且越是知名的大網(wǎng)站，越是容易受到不法分子利用漏洞進(jìn)行的攻擊。

    ４月８日，網(wǎng)絡(luò)安全協(xié)議ＯｐｅｎＳＳＬ被曝發(fā)現(xiàn)嚴(yán)重安全漏洞，諸多公眾熟知的電商、支付類接 口、社交、門戶網(wǎng)站瞬間處于“裸奔”狀態(tài)，大量網(wǎng)民信息面臨泄密風(fēng)險。互聯(lián)網(wǎng)“心臟出血”還將持續(xù)多久？危害究竟多大？普通用戶在此時此刻應(yīng)當(dāng)做些什么？ 新華社記者就此進(jìn)行了調(diào)查。

    “地震級”網(wǎng)絡(luò)災(zāi)難降臨　“心臟出血”搶修進(jìn)行中

    ４月８日，在微軟ＸＰ操作系統(tǒng)正式停服同一天，互聯(lián)網(wǎng)筑墻被劃出一道致命的裂口——常用于電商、支付類接口等安全性極高網(wǎng)站的網(wǎng)絡(luò)安全協(xié)議ＯｐｅｎＳＳＬ被曝存在高危漏洞，眾多使用ｈｔｔｐｓ的網(wǎng)站均可能受到影響。

    一些人對漏洞嚴(yán)重性還在盲目樂觀時，業(yè)界知名“白帽子”、北京知道創(chuàng)宇信息技術(shù)有限公司研究部總監(jiān)余弦指出，此漏洞一旦被惡意利用，用戶登 錄這些電商、支付類接口的賬戶、密碼等關(guān)鍵信息都將面臨泄露風(fēng)險。包括公眾熟知并且經(jīng)常訪問的微信、淘寶、一些支付類接口、社交、門戶等知名網(wǎng)站均受到影 響，而且越是知名高的網(wǎng)站，越容易受到不法分子的攻擊。

    在余弦的電腦屏幕上，網(wǎng)絡(luò)安全分析系統(tǒng)掃描顯示，在中國境內(nèi)的１６０余萬臺服務(wù)器中，有３３３０３臺受到這一漏洞影響。蘇寧、盛大、網(wǎng)易、搜狗、唯品會、比特幣中國、微信、豌豆莢……一個個網(wǎng)民常用的甚至依賴的網(wǎng)站紛紛“躺槍”。

    余弦告訴記者，這３萬多臺服務(wù)器分布在支付類接口系統(tǒng)、大型電商網(wǎng)站、即時通訊系統(tǒng)和郵箱等這些最重要的網(wǎng)絡(luò)服務(wù)器中。

    ８日晚，余弦和他的團(tuán)隊(duì)守在電腦屏幕前徹夜未眠，安全保衛(wèi)者們敲擊鍵盤的噼啪聲一夜未斷。不僅余弦，３６０、京東、微信、支付寶等公司的技術(shù)團(tuán)隊(duì)也徹夜奮戰(zhàn)，和黑客們開展起了一場“你盜我堵”的賽跑，在黑客竊取更多用戶數(shù)據(jù)前趕緊予以修復(fù)。

    南京翰海源信息技術(shù)有限公司創(chuàng)始人方興指出：此漏洞事實(shí)上非常簡單，并不是因?yàn)樗惴ū还テ疲�而是由于程序員在設(shè)計時沒有做長度檢查而產(chǎn)生的內(nèi)在泄露漏洞。

    “新生程序員時常會犯這樣的錯誤。”知道創(chuàng)宇首席執(zhí)行官楊冀龍如此看待這一問題。

    “打個形象的比喻，就像家里的門很堅固也鎖好了，但是發(fā)現(xiàn)窗戶虛掩著。”中國計算機(jī)學(xué)會計算機(jī)安全專業(yè)委員會主任嚴(yán)明說，這個漏洞是地震級別的。

    知道創(chuàng)宇公司持續(xù)在線監(jiān)測情況顯示，雖然大部分公司已有所行動，但仍有部分涉及機(jī)構(gòu)動作遲緩。截至９日晚，知道創(chuàng)宇公司通過監(jiān)測 ＺｏｏｍＥｙｅ實(shí)時掃描數(shù)據(jù)分析發(fā)現(xiàn)，國內(nèi)１２３０６鐵路客戶服務(wù)中心、微信公眾號、支付寶、淘寶網(wǎng)、３６０應(yīng)用、陌陌、雅虎、ＱＱ郵箱、微信網(wǎng)頁版、比 特幣中國、雅虎、知乎等網(wǎng)站的漏洞已經(jīng)修復(fù)完畢。但還有一些網(wǎng)站沒有完成修復(fù)。

    余弦告訴記者，該漏洞并不一定導(dǎo)致用戶數(shù)據(jù)泄露，因?yàn)樵撀┒粗荒軓膬?nèi)存中讀取６４Ｋ的數(shù)據(jù)，而重要信息正好落在這個可讀取的６４Ｋ中的幾率并不大，但是攻擊者可以不斷批量地去獲取這最新的６４Ｋ記錄，這樣就很大程度上可以得到盡可能多的用戶隱私信息。

    一位安全行業(yè)人士透露，他在某著名電商網(wǎng)站上用這個漏洞嘗試讀取數(shù)據(jù)，在讀�。玻埃按魏�，獲得了４０多個用戶名、７個密碼，用這些密碼，他成功地登錄了該網(wǎng)站。

    威脅還長期潛伏

    余弦坦言，問題在于這個漏洞實(shí)際出現(xiàn)在２０１２年。兩年多來，誰也不知道是否已經(jīng)有黑客利用漏洞獲取了用戶資料；由于該漏洞即使被入侵也不會在服務(wù)器日志中留下痕跡，所以目前還沒有辦法確認(rèn)哪些服務(wù)器被入侵過，也就沒法定位損失、確認(rèn)泄露信息。

    目前看來，該漏洞確已被很多黑客利用。網(wǎng)絡(luò)安全領(lǐng)域資深人士透露，由于ＯｐｅｎＳＳＬ漏洞的出現(xiàn)，８日、９日的地下交易市場中，各種兜售非法數(shù)據(jù)的交易顯得異�；鸨�，比如一份某省工程類人員的信息數(shù)據(jù)，該信息清晰顯示出大量人員的姓名、身份證號碼等。

    記者采訪了解到，安全協(xié)議ＯｐｅｎＳＳＬ最新漏洞的影響仍在持續(xù)發(fā)酵，截至目前仍有許多網(wǎng)站尚未完成漏洞修復(fù)。

    楊冀龍建議，在相關(guān)網(wǎng)站升級修復(fù)前，建議暫且不要登錄網(wǎng)購、支付類接口賬戶，尤其是對那些沒有明確采取補(bǔ)救措施的網(wǎng)站，更應(yīng)該謹(jǐn)慎避免泄密風(fēng)險。對于一些已經(jīng)完成升級的網(wǎng)站，用戶應(yīng)當(dāng)盡快登錄網(wǎng)站更改自己的密碼等重要信息。

    安全人士指出，即使用戶之前登錄的網(wǎng)站發(fā)生了泄密，因?yàn)楹诳驼莆盏馁~號密碼數(shù)量龐大，短時間內(nèi)無法消化使用，所以對于單個用戶而言盡快更改 密碼設(shè)置是非常必要的。但是，對于一些郵箱類網(wǎng)站，則需再登錄郵箱一次，然后點(diǎn)擊退出登錄，因?yàn)楹诳屠�用ｃｏｏｋｉｅ緩存可直接登錄�?/p>