C07 智在公司

涉及2亿用户3万多个网站

网络安全大地震OpenSSL漏洞曝光

2014年4月8日，在互联网世界发生了两件大事，除了微软正式宣布XP停止服务退役之外，更令人关注的是OpenSSL的大漏洞曝光。

OpenSSL的大漏洞是由Codenomicon和谷歌安全部门的研究人员独立发现的。为了将影响降到最低，研究人员已经与OpenSSL团队和其他关键的内部人士展开了合作，在公布该问题前就已经准备好修复方案。

某网站安全检测平台对国内120万家经过授权的网站扫描，其中有3万多个网站主机受漏洞影响。4月7日、4月8日期间，共计约两亿网友访问了存在漏洞的网站。目前，大部分网站和支付平台已经完成了修复工作。

急补“心脏出血”漏洞

出现漏洞后，让特定版本的OpenSSL成为无需钥匙即可开启的废锁，入侵者每次可以翻检户主的64K信息，只要有足够的耐心和时间，他可以翻检足够多的数据，拼凑出户主的银行密码、私信等敏感数据。

OpenSSL被曝出的安全漏洞在黑客社区中被命名为“心脏出血”。利用该漏洞，黑客坐在自己家里电脑前，就可以实时获取到很多https开头网址的用户登录账号密码，包括网银、知名购物网站、电子邮件等信息。

据了解，OpenSSL是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，在中国的金融类网站、电商网站、门户网站上均广泛使用，被形容为“互联网上销量最大的门锁”。

然而，出现漏洞后，让特定版本的OpenSSL成为无需钥匙即可开启的废锁，入侵者每次可以翻检户主的64K信息，只要有足够的耐心和时间，他可以翻检足够多的数据，拼凑出户主的银行密码、私信等敏感数据。

“OpenSSL‘心脏出血’漏洞为本年度互联网上最严重的安全漏洞，影响至少两亿中国网民，初步评估一批https登录方式的主流网站，有不少于30%的网站中招，其中包括大家最常用的购物、网银、社交、门户、微博、微信、邮箱等知名网站和服务。” 360安全专家石晓虹博士表示。

自这个漏洞被曝出后，安全专家们与黑客已经展开了激烈竞赛。腾讯方面称，“公司已在第一时间进行处理，目前相关的产品业务如邮箱、财付通、QQ、微信等都已经修复完毕，大家可以放心使用。”雅虎发言人表示，“我们的团队已经在雅虎的各个主要网站上成功完成修复，我们正在针对公司旗下其他的网站实施修复。”谷歌回应：“公司已对SSL的弱点进行了评估,并对关键服务发布了补丁程序。”此外，包括12306网站、陌陌、知乎、淘宝网、360应用等也已经完成修复。

除了各大网站之外，受影响的另一方则是在线支付。4月9日，中国金融认证中心（CFCA）官方网站挂出文章，针对OpenSSL漏洞对网银的影响进行了说明。“网银系统均使用商业级的SSL加密设备，很少有采用类似OpenSSL这样的开源软件，因此受到的影响较少。而对于普通用户，U盾可以完全放心使用。对于不能确认的网站，可通过一些免费的在线工具验证一下访问的网站是否存在这个漏洞。如果存在此漏洞的话，先暂停访问，等待漏洞得到修复。”

事实上，OpenSSL的漏洞早在两年前就出现了，有业内人士担忧不知道是否已有黑客利用漏洞获取了用户资料，而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹，所以目前还没办法确认哪些服务器被入侵，也就没法定位损失、确认泄漏信息，从而通知用户进行补救。

艾媒CEO张毅在接受《中国经营报》记者采访时表示，对此次漏洞事件持乐观态度。“之前黑客盗取数据的情况应该会有，但是到目前为止没有出现大面积的泄露和资金流失，至少说明情况不是很严重。另外，现在大家重视起来，主流服务平台都会进行修复升级，所以以后的问题应该也不会特别大。”

商业机会涌现

为了防止类似的情况出现，一些安全类软件公司显然存在商业机会，尤其是针对企业的安全服务商，因为在这种情况下大家会更倾向于使用付费软件。

在此次OpenSSL漏洞给互联网企业带来系统性风险的同时，该事件也起到了警示作用。虽然在各大网站完成修复后，事情会逐渐恢复平静，但由于OpenSSL应用非常广泛，所以相对网站等表面上的应用，它在各种客户端、VPN、WAF等其他领域，也将带来更加隐蔽的风险，并将持续一段时间。

有专家指出，出于安全考虑，政府有关职能部门应在第一时间向全国发出警报。但从目前反应出的情况来看，我国重大安全事件的紧急处置及联动机制还不够健全。而国家应急中心一位负责人也指出，我国从2003年起，就开始试图建立漏洞触发机制，但这一块工作的细化和操作在实践层面还缺乏清晰的路径。

中国计算机学会信息安全专业委员会主任严明认为，对于政府职能部门，目前公安或者其他相关部门应当立即启动应急措施，促进通报漏洞信息，并强制推动所有受到漏洞影响的网站进行技术升级和修补。在这一阶段完成后，再对那些出现了财产侵占的非法行为进行查处追责。

而对于企业而言，则要意识到问题的重要性，北京知道创宇信息技术有限公司持续监测发现，一些机构升级了OpenSSL，如金山、百度、360等；一些选择暂停SSL服务，但仍继续使用其主要功能，如微信；有的为规避风险，干脆暂停网站全部服务；更有一部分根本没有采取任何措施。

另一方面，为了防止类似的情况出现，一些安全类软件公司显然存在商业机会。比如，360迅速推出OpenSSL漏洞在线检查工具，输入网址就能够检测网站是否存在该漏洞，帮助用户避免相应风险，同时还开通了热线电话，网站用户在升级和维护网站过程中，可以随时拨打该热线电话，获得免费全程技术支持。

不过在张毅看来，“像360这种企业以提供免费服务为主。而对于付费的安全软件服务商，尤其是针对企业的安全服务商也是不错的机会，包括卡巴斯基等，因为在这种情况下大家会更倾向于使用付费软件。”

就目前的情况而言，有业内专家建议，对重要服务，网民应尽可能开通手机验证或动态密码，比如支付宝、邮箱等，登录重要服务，不仅仅需要验证用户名密码，最好绑定手机，加手机验证码登录。这样就算黑客拿到账户密码，登录还有另一道门槛。如果随着事件进展，可能受波及的网络服务在增加或更明确，建议用户修改重要服务的登录密码。一个密码的使用时间不宜过长，超过3个月就该换掉了。