近日外媒爆出，Codenomicon和谷歌安全部門的研究人員發(fā)現(xiàn)OpenSSL漏洞遍及全球互聯(lián)網(wǎng)公司，外國(guó)黑客將其命名為“heartbleed”，并為其起了個(gè)形象的名字“心臟出血”，中國(guó)超過3萬臺(tái)主機(jī)受波及，國(guó)內(nèi)網(wǎng)站和安全廠商技術(shù)人員為檢查、搶修徹夜未眠。截至昨天，有超30%的主機(jī)已經(jīng)修復(fù)，“大站”紛紛表示安全，但技術(shù)人士稱，消費(fèi)者敏感信息是否泄露還有待日后觀察。據(jù)外媒報(bào)道，為了將影響降到最低，研究人員已經(jīng)與OpenSSL團(tuán)隊(duì)和其他關(guān)鍵的內(nèi)部人士展開了合作，在公布該問題前就已經(jīng)準(zhǔn)備好修復(fù)方案。 

　　OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議，各大網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站上廣泛使用。此次爆出的這個(gè)漏洞，則讓特定版本的OpenSSL成為無需鑰匙即可開啟的廢鎖，入侵者每次可以翻檢戶主的64K信息，只要有足夠的耐心和時(shí)間，他可以翻檢足夠多的數(shù)據(jù)，拼湊出戶主的銀行密碼、私信等敏感數(shù)據(jù)。 
　　“簡(jiǎn)單識(shí)別網(wǎng)站應(yīng)用是否采用SSL加密，只需要看瀏覽器地址欄是http，還是https，后者就是用SSL加密的。通常是非常關(guān)鍵的網(wǎng)絡(luò)服務(wù)，比如郵箱、支付、銀行?！苯鹕蕉景园踩珜＜依铊F軍說。 
　　“有這樣千載難逢的機(jī)會(huì)，黑客們是舍不得睡覺的。他們會(huì)想盡辦法多獲取一些服務(wù)器上的信息?！?60公司技術(shù)副總裁譚曉生說。 
　　互聯(lián)網(wǎng)安全大地震網(wǎng)銀U盾影響小 
　　“這是近兩年來最嚴(yán)重的一次網(wǎng)絡(luò)安全危機(jī)?！?60公司技術(shù)副總裁譚曉生評(píng)價(jià)，在以https開頭的網(wǎng)站中，初步評(píng)估有不少于30%的網(wǎng)站中招，其中包括大家最常用的購(gòu)物、網(wǎng)銀、社交、門戶等知名網(wǎng)站，而在手機(jī)APP的網(wǎng)銀客戶端中，則有至少50%存在風(fēng)險(xiǎn)。通俗來講，通過這個(gè)漏洞，可以泄露以下四方面內(nèi)容：一是私鑰，所有https站點(diǎn)的加密內(nèi)容全能破解；二是網(wǎng)站用戶密碼，用戶資產(chǎn)如網(wǎng)銀隱私數(shù)據(jù)被盜取；三是服務(wù)器配置和源碼，服務(wù)器可以被攻破；四是服務(wù)器掛掉不能提供服務(wù)。 
　　一位安全行業(yè)人士透露，他在某著名電商網(wǎng)站上用這個(gè)漏洞嘗試讀取數(shù)據(jù)，在讀取200次后，獲得了40多個(gè)用戶名、7個(gè)密碼，用這些密碼，他成功地登錄了該網(wǎng)站。 
　　銀行銀聯(lián)支付不受影響 
　　對(duì)于OpenSSL的漏洞，有傳言稱即便是銀行網(wǎng)上支付、U盾、銀聯(lián)支付也都并不安全。不過，業(yè)內(nèi)人士昨天向記者坦言，該漏洞對(duì)銀行網(wǎng)上支付、銀行U盾使用及銀聯(lián)的影響幾乎為零。 
　　OpenSSL的這個(gè)漏洞是由于代碼實(shí)現(xiàn)不嚴(yán)謹(jǐn)造成的，這個(gè)漏洞存在于OpenSSL1.0.1系列版本中，之前的OpenSSL版本不受影響。天貓、淘寶使用的正是這個(gè)系列的版本，所以可以竊取到內(nèi)存中的數(shù)據(jù)。 
　　“如果銀行使用了帶有該漏洞的OpenSSL開源軟件版本，會(huì)有一定的影響。但是這個(gè)漏洞只是竊取內(nèi)存中的數(shù)據(jù)，銀行的用戶密碼還有一重加密保護(hù)，一般不會(huì)在SSL服務(wù)器解密，所以也就很難拿到銀行用戶的密碼?！边@個(gè)OpenSSL的漏洞和U盾的安全性沒有什么聯(lián)系，因?yàn)橛脩舻慕灰酌舾行畔⑹峭ㄟ^USB接口送入U(xiǎn)盾后，在U盾內(nèi)部進(jìn)行加密和數(shù)字簽名運(yùn)算，SSL協(xié)議是對(duì)U盾加密簽名后的數(shù)據(jù)再進(jìn)行一次傳輸層的加密。這次OpenSSL的漏洞對(duì)U盾沒有影響。 
　　此外，中國(guó)銀聯(lián)相關(guān)負(fù)責(zé)人昨天也回應(yīng)稱，銀聯(lián)核心跨行交易系統(tǒng)運(yùn)營(yíng)基于專用網(wǎng)絡(luò)，與漏洞事件無關(guān)。該負(fù)責(zé)人稱，“銀聯(lián)在線支付”等基于互聯(lián)網(wǎng)的創(chuàng)新業(yè)務(wù)系統(tǒng)并未使用OpenSSL技術(shù)，對(duì)于個(gè)別外圍供應(yīng)商可能存在的OpenSSL漏洞，銀聯(lián)已通過主動(dòng)排查，在烏云網(wǎng)等技術(shù)人士公開漏洞事件前就已協(xié)調(diào)供應(yīng)商消除了隱患，持卡人可以放心使用。 
　　微軟百度稱未受影響 
　　昨天，微軟中國(guó)方面向記者回應(yīng)稱，沒有任何微軟產(chǎn)品受到此漏洞的影響。OpenSSL是開源用以實(shí)現(xiàn)SSL協(xié)議的產(chǎn)品，微軟并沒有在旗下產(chǎn)品和服務(wù)中使用此開源的解決方案。據(jù)悉，多數(shù)商業(yè)公司使用的SSL加密都是付費(fèi)的，與本次暴露出漏洞的OpenSSL關(guān)系不大。 
　　百度方面也表示，百度錢包不受影響。 
　　電商當(dāng)當(dāng)網(wǎng)表示，當(dāng)當(dāng)網(wǎng)固有的賬戶體系非常安全，消費(fèi)者可放心購(gòu)物。 
　　盛大方面表示，盛大通行證的認(rèn)證主要是通過硬件加密等方式來使用https協(xié)議，目前已經(jīng)和供應(yīng)商確認(rèn)過，一方面所使用的OpenSSL版本不是會(huì)受影響，另一方面針對(duì)有可能出現(xiàn)的安全隱患，已在第一時(shí)間通過升級(jí)進(jìn)行了處理。 
　　阿里京東已修復(fù)用戶需修改密碼 
　　昨天早上，此次漏洞事件引發(fā)最多泄密擔(dān)憂的阿里系急忙表示漏洞已經(jīng)修復(fù)。阿里安全回應(yīng)稱，關(guān)于OpenSSL某些版本存在基于基礎(chǔ)協(xié)議的通用漏洞，阿里各網(wǎng)站已經(jīng)在第一時(shí)間進(jìn)行了修復(fù)處理，目前已經(jīng)處理完畢，包括淘寶、天貓、支付寶等各大網(wǎng)站都確認(rèn)可以放心使用。其中淘寶方面還透露，從目前監(jiān)控的情況來看，未發(fā)現(xiàn)賬戶異常。 
　　京東則表示，已于昨天完成了修補(bǔ)處理，避免了這次漏洞的侵襲。 
　　騰訊昨天早上也發(fā)聲明稱，騰訊已在第一時(shí)間進(jìn)行處理，目前相關(guān)的產(chǎn)品業(yè)務(wù)如郵箱、財(cái)付通、QQ、微信等都已經(jīng)修復(fù)完畢。 
　　網(wǎng)易郵箱方面告訴記者，烏云報(bào)告提到的網(wǎng)易郵箱OpenSSL漏洞，經(jīng)過網(wǎng)易郵箱查證，所列域名都是指向了CDN(內(nèi)容分發(fā)網(wǎng)絡(luò))服務(wù)，收到報(bào)告后網(wǎng)易郵箱第一時(shí)間反饋給CDN服務(wù)商，當(dāng)晚已經(jīng)修復(fù)。 
　　此外，全球互聯(lián)網(wǎng)巨頭雅虎、谷歌和Facebook也紛紛表示已修復(fù)漏洞。谷歌表示：“我們已經(jīng)評(píng)估了SSL漏洞，并且給谷歌的關(guān)鍵服務(wù)打上了補(bǔ)丁?！?nbsp;
　　消費(fèi)者應(yīng)對(duì)：網(wǎng)站修復(fù)漏洞后用戶需修改密碼 
　　360公司技術(shù)副總裁譚曉生建議，在4月7日和8日兩天登錄過存在漏洞的網(wǎng)站的網(wǎng)友，首先需要確認(rèn)曾經(jīng)登錄的網(wǎng)站是否已經(jīng)進(jìn)行了升級(jí)修復(fù)，可看該網(wǎng)站是否發(fā)布相關(guān)的公告，也可通過360網(wǎng)站衛(wèi)士推出的OpenSSL漏洞在線檢查工具，輸入網(wǎng)址檢測(cè)網(wǎng)站是否存在該漏洞。如果相關(guān)網(wǎng)站已完成了修復(fù)，則用戶需要將使用過的用戶名、密碼等個(gè)人信息進(jìn)行修改；如果登錄過的網(wǎng)站仍然未能完成修復(fù)，“那很遺憾，用戶只有坐等對(duì)方修復(fù)。” 
　　金山毒霸安全專家李鐵軍表示，對(duì)重要服務(wù)，要盡可能開通手機(jī)驗(yàn)證或動(dòng)態(tài)密碼，比如支付寶、郵箱等。 
　　“針對(duì)OpenSSL漏洞，黑客的攻擊方式是不斷發(fā)動(dòng)數(shù)據(jù)包攻擊，每次攻擊能夠從服務(wù)器內(nèi)存上得到大小為64K的數(shù)據(jù)，不過獲得的數(shù)據(jù)是零散無序的，黑客想要獲得真正有用的信息，需要把累計(jì)獲得的數(shù)據(jù)進(jìn)行整理分析，這需要一個(gè)時(shí)間過程，因此，在這兩天內(nèi)及時(shí)完成密碼修改，就不會(huì)有太大的問題?！弊T曉生提醒說，不過，即便網(wǎng)站完成修復(fù)，也并不意味著天下太平了，未來是否有新的危險(xiǎn)還不得而知。 
　　此外，在網(wǎng)站漏洞修復(fù)前，不要網(wǎng)購(gòu)或網(wǎng)上支付，以免受到損失。一個(gè)密碼的使用時(shí)間不宜過長(zhǎng)，超過3個(gè)月就該換掉了。