互联网安全不眠夜：“心脏出血” 波及网银电商-国土报中文版

本篇文章2859字，读完约7分钟

那天晚上，互联网门户打开了。

基本安全协议“心脏出血”

北京知道于闯公司的余弦值整晚都在电脑屏幕前。作为一家快速发展的安全企业的研究总监，余弦在国内黑客圈有着深厚的资历。他向苗叔叔介绍了这件事的起因。该漏洞被安全公司codenomicon和谷歌安全工程师发现，并提交给相关管理机构，随后官方很快发布了该漏洞的修复计划。4月7日，程序员肖恩·卡西迪在他的博客上详细描述了这个漏洞的机制。

互联网安全不眠夜：“心脏出血” 波及网银电商

他透露，openssl的源代码中有一个漏洞，允许攻击者获取服务器上64k内存中的数据内容。这部分数据可能包含安全证书、用户名和密码、聊天工具消息、电子邮件和重要业务文档等数据。

Openssl是目前互联网上使用最广泛的安全传输方式(基于ssl，即安全套接字层协议)。可以粗略地说，这是互联网上最大的销售门锁。肖恩的漏洞使得openssl的一个特定版本成为一个可以不用钥匙打开的废锁；入侵者每次都能检查户主的64k信息。只要他有足够的耐心和时间，他就能检查足够的数据并拼凑出敏感的数据，如银行密码和户主的私人信件；如果房主不幸是店主或银行老板，在这里购物和存钱的用户的最敏感的个人数据也可能被入侵者获得。

互联网安全不眠夜：“心脏出血” 波及网银电商

一名安全行业人士在智虎上透露，他试图利用这个漏洞在一个著名的电子商务网站上读取数据。读了200遍之后，他得到了40多个用户名和7个密码。有了这些密码，他成功登录了网站。

发现者给这个漏洞起了一个生动的名字:心脏出血，心脏出血。那天晚上，互联网的安全核心开始流血。

中国至少有3万台机器“生病”

一些安全研究人员认为，该漏洞可能不会产生如此大的影响，因为受该漏洞影响的openssl 1.01系列版本并没有在互联网上广泛部署。

资深国内安全工作者、安田实验室总建筑师蒋海科不同意这种说法。他在微博上警告说:“这一次，狼真的来了。”。

余弦对这个问题进行了精确的定量分析。在4月8日的不眠之夜，他不仅实时跟踪推特和主要论坛的最新发展，而且更关注于扫描zoomeye系统。根据系统扫描，中国有1601250台机器使用端口443，其中33303台受此openssl漏洞影响！端口443只是openssl的一个公共端口，它用于访问加密的网页。由于时间限制，邮件、即时消息和其他服务使用的其他端口尚未扫描。

互联网安全不眠夜：“心脏出血” 波及网银电商

Zoomeye是一个安全分析系统，其工作原理类似于谷歌的。它将持续抓取全球互联网中的各种服务器，记录服务器的硬件配置和软件环境等各种指标，生成指纹，并定期进行比较，以确定服务器中是否存在漏洞或入侵。在这个“心脏出血”漏洞检测中，余弦在系统后面添加了一个“身体检查”系统，并过滤掉使用有问题的openssl的服务器，从而获得具有潜在安全隐患的服务器规模。

互联网安全不眠夜：“心脏出血” 波及网银电商

从系统的“体检”结果来看，比3万台问题服务器更令人震惊的是这些服务器的分布情况:有的在银行的网上银行系统中，有的部署在第三方支付中，有的在大型电子商务网站中，有的在邮箱和即时通讯系统中。

自从这个漏洞被揭露后，全世界的黑客和安全专家开始了一场竞争。前者不断测试各种服务器，试图从漏洞中获取尽可能多的用户敏感数据；后者正在争分夺秒地升级系统并弥补漏洞，如果实施太晚，它将暂时关闭一些服务。余弦说，这是目前最危险的地方:黑客已经被一个接一个地派出，但一些公司的负责人还在睡觉。然而，如果黑客入侵服务器，不仅会损害公司的个人，还会损害公司数据库中存储的大量用户敏感数据。更麻烦的是，这个漏洞实际上出现在2012年。两年多来，没有人知道黑客是否利用这个漏洞获取用户数据；此外，即使漏洞被入侵，也不会在服务器日志中留下痕迹，因此无法确认哪些服务器被入侵，也无法定位损失并确认泄露的信息，从而通知用户进行补救。

互联网安全不眠夜：“心脏出血” 波及网银电商

问题和新问题

目前，zoomeye仍在对世界各地的服务器进行“体检”，大约需要20个小时。相比之下，检查家用服务器只需要更短的时间，只有22分钟；只需两分钟就可以对那30，000台“生病”的服务器重复体检。目前，余弦已将该清单提交给cncert/cc(国家互联网应急中心)，该中心将进行全国预警。但是，除了中国移动、中国联通等大型企业外，cncert没有强制力确保其他公司看到警示内容，可能还需要媒体不断曝光一些“有病”的服务器，迫使相关公司关注这一漏洞。

互联网安全不眠夜：“心脏出血” 波及网银电商

在漏洞修复期间，普通消费者和企业都应该采取相应的措施来规避风险。对于普通用户，余弦建议在确认相关网站安全之前，不要使用网上银行、电子支付、电子商务购物等功能，以免用户密码被钻了洞的黑客窃取。“一个银行朋友告诉我，他们需要两天时间来弥补这个漏洞。你最好这两天不要登录网银，确认安全后再登录。如果您已经登录，请考虑更改您的密码。”

互联网安全不眠夜：“心脏出血” 波及网银电商

与用户的被动套期保值不同，相关互联网公司应尽快主动升级。升级到最新版本的openssl可以消除这个漏洞，这是目前企业最方便的方式。但是，升级后，从理论上讲，还应该通知用户更改安全证书(因为存在漏洞，证书的密钥可能已经泄露)，并尽可能地更改密码。实施这两项措施后，企业在实施时将面临巨大的成本，并且只能通过媒体尽可能多地暴露出来，以便有意识的用户可以重新下载证书并自行更改密码。

互联网安全不眠夜：“心脏出血” 波及网银电商

由于“心脏出血”漏洞的普遍性和隐蔽性，未来几天可能会出现一个接一个的问题。在互联网飞速发展的今天，一些协议级和基础设施级漏洞的出现可能会削弱人们使用互联网的信心，但客观上也使问题及时暴露出来，并能在更大的损失发生之前及时补救。作为其中的一个个体，采取主动和加强自我保护可能比把所有的安全和未来托付给他人更负责任。

互联网安全不眠夜：“心脏出血” 波及网银电商