致命的心脏出血漏洞

　　经过一周的紧急“抢救”后，国内绝大部分重要网站的管理员堵住了名为“心脏出血”(Heartbleed)的安全漏洞。但数据泄露的风险，却可能是潜伏在平静下的暗涌。

　　“现在还不清楚有多少私匙被黑客通过漏洞抓取，此外还会影响到个人电脑和手机。”金山毒霸反病毒工程师李铁军说。

　　这个出现在安全协议O penS S L上的危险漏洞，被安全专家形容为“核弹级别”，普通用户如何在这场危机中保护登陆名、密码甚至信用卡账号等隐私数据？

　　与黑客抢时间

　　4月14日，加拿大国税局发布声明，称黑客通过O penSSL“心脏出血”漏洞，窃取了900个纳税人的社保号码。这是全球第一例通告的受害案例。

　　早在“心脏出血”漏洞爆出后的4月9日，“中招”的加拿大国税局已经迅速关闭了网站服务，以避免纳税人信息泄露，但依然棋差一着。

　　“密歇根大学的一个安全研究团队利用开源网络扫描工具ZM ap搜索存在‘心脏出血’漏洞的网站，他们完整扫描了地址空间，发现截至4月10日凌晨2时，A lexa排名前百万的网站有40 .9%中招。”网络安全专家谭戴林告诉南都记者，他所在的科技公司也在第一时间增加了防护修补方案。

　　英国互联网咨询公司N etcraft调查了将近10亿网站，发现66%的网站包含了openssl软件包。而据zoom eye扫描，中国全境至少有33303台服务器受影响，网易、微信、QQ邮箱、陌陌、雅虎、比特币中国、支付宝、知乎、淘宝网、12306、京东……从消费到通讯、社交，知名网站几乎无一幸免。

　　从4月8日开始，利用漏洞发起攻击的黑客、维护网络安全的“白帽子”、忙着修复升级系统版本的网站开始一场抢夺时间的竞赛。

　　谭戴林观察到，淘宝动作最快，4月8日下午5点左右即修复漏洞，网易到8日晚上8点还没修复，4月10日晚上爱奇艺还没有修复。但到目前为止，国内绝大部分知名网站已经修复了这一漏洞。

　　“心脏”为什么“出血”？

　　“心脏出血”到底是个怎样的漏洞，令安全协议O penSSL变得不安全？

　　SSL，是20年前著名的“网景”公司为解决万维网数据安全传输，推出的“安全套接字层协议”。

　　OpenSSL就是实现了SSL的程序包，名字里的open代表它采取的开源模式，也就是说，当程序内出现错误和漏洞会及时公布，别人提交的修改代码经过审核通过，则会当做补丁或者在下一版本发布。

　　当你用QQ聊天和发送Gmail邮件时，OpenSSL这个加密程序包，负责为你传输的数据加密。它使得这些数据在传输过程中即使被截获，看起来也是错乱无序的。

　　为了证实加密连接一直存在，有时候，你这边会发一个“心跳(heartbeat)”包给服务器进行试探，作为回应，服务器会返回一小段数据。

　　于是致命的“心脏出血”漏洞产生了：如果发送一段精心组织的试探代码过去，能够诱使服务器送回来一大段内存里的内容。

　　每次返回的数据，是64K，即6万多字节。而一个人的用户名、密码、注册信息、密码保护问题、信用卡号等，都不超过区区几百字节。现今的服务器支持被人快速地心跳试探，于是一次又一次返回新鲜热辣的内存数据，大量重要信息就源源不断地泄露。

　　如果其中包含比较核心的数据，比如用来解密数据的私钥，那么黑客可以在你向网站传输加密数据的过程中，利用该私钥将数据提前解密。

　　这个漏洞由G oogle的安全研究员N eel M ehta首先报告，同期安全公司Codenom icon也独立地报告，并给它取名“心脏出血”，形象地道出其重磅危害。

　　黑客利用漏洞实施攻击可谓轻而易举。网上流传的一个漏洞演示的Python代码，仅短短数行，还有众多网站提供查漏洞的服务，你输入一个网址，若存在漏洞，即会返回内存数据。

　　而且，这一种神不知鬼不觉的攻击—服务器日志的记录并不会显示这种攻击式访问跟正常访问有何异常之处。这就好比，你无法判断家里是否来过贼。

　　NSA已利用漏洞？

　　SSL自诞生之初，其理论框架和具体程序实现就遭受各种挑战。有研究人员统计，在它曾遭受过的28种漏洞攻击里，Openssl至少有8次未能幸免。

　　开源软件缺少商业模式，代码检查和测试都进行得不够全面。但商用软件也会存在漏洞，比如斯诺登就爆料微软会在进行漏洞修正前通知N SA (美国国家安全局)，从而让N SA窃取数据有可乘之机。

　　Openssl“心脏出血”那个有问题的代码，已经存在两年之久，那么，监听丑闻缠身的N SA是否早已知悉，甚至利用这一漏洞？

　　去年9月，卫报根据斯洛登提供的文件，曾报道N S A联手英国情报部门G CH Q，已经成功破解了安全邮件及其他敏感数据传输所依赖的加密算法。G C H Q在2010年就报告他们已经接近实时地解密谷歌、雅虎的数据传输。虽然这一结论早于“心脏出 血”漏 洞 产 生 的2012年，但是N SA等情报机构的工作重心就是研究、收集和破解SSL，他们早已掌握甚至利用这一漏洞，成为了很多人的猜测。

　　不过，NSA通过T w it-ter进行了否认，称其“也是直到‘心脏出血’近期被公开之后才确认了这一漏洞”。

　　风险向个人电脑、手机蔓延

　　这个漏洞会泄露我们哪些信息？

　　网络安全专家、成都安慧科技有限公CEO谭戴林对南都表示，用户的网站登录名和密码、其间修改过的个人隐私信息、其间修改过的密码保护问题答案，还有信用卡信息和邮件服务器上的邮箱地址和密码等，都可能在被泄露之列。很多网站都建议用户事后修改密码，其实还有一些跟密码同样重要的信息，比如你在这个过程中修改过的密保信息也会被读取。

　　起初，安全专家们仅呼吁各方关注易受攻击的网站，但近日则开始发出警告，数据中心以及运行安卓及iO S系统的智能手机也可能面临风险。

　　金山毒霸反病毒工程师李铁军提醒说，O penSSL漏洞还会影响到个人电脑和手机。“如果黑客用这个漏洞搭建一个攻击网站，欺骗网民去点击，点击之后，电脑或手机的内存信息，会被黑客获取”。他举例，安卓4.1.1的手机浏览器就存在此风险，但这只能期待手机厂商升级系统来解决。

　　谭戴林预测，服务器的问题是第一波，第三方软件使用有缺陷的O penSSL才是接下来需要考虑的问题，攻击者会利用这个漏洞获取用户原本想要保密的信息。恶意利用存在漏洞的客户端连接服务器端，让服务器端发起攻击，窃取客户端数据。而且，虽然暴露在外网的服务器已得到及时修补，但一些公司内网的服务器却被忽略。

　　“Openssl漏洞的影响现在很难具体评估出来。”李铁军所言也是网络安全专家们较为一致的共识。修复的平静之下，或许还有暗流涌动。

　　数据这样泄露

　　黑客发送一段精心组织的试探代码

　　诱使服务器送回可能包含隐私信息的内存数据

　　该如何自保

　　确认相关网站升级修复前，尽量避免登入账号

　　在已完成修复升级的网站，尽快更改密码，同时修改重要的密保信息和隐私信息会更保险

　　留意个人网络账号的登录情况是否存在异常

　　相关网络服务能开通手机验证的，尽量开通

　　检查账户资金安全，必要时账户转移

　　密切关注自己经常访问的网站的公告

　　尽快安装自己系统的安全升级补丁

　　不随意登记身份信息，能不填的个人信息尽量不填

　　在公众场合不使用WI-FI时尽量关掉，避免受攻击

　　南都记者 张书舟 特约撰稿 吴博