4月8日，OpeonSSL曝出被稱為“心臟出血”（Heartbleed）的安全漏洞。中國計算機(jī)學(xué)會計算機(jī)安全專業(yè)委員會主任嚴(yán)明說，這個漏洞是強(qiáng)地震級別的，就像家里的門雖然很堅固，也鎖好了，但是忽然發(fā)現(xiàn)窗戶其實是虛掩著的。

隨著信息安全技術(shù)的發(fā)展，業(yè)界廠商針對木馬、病毒的防護(hù)水平逐漸提升，使它們“作惡”的空間越來越有限。然而，系統(tǒng)本身的安全漏洞仍層出不窮，并逐漸成為更為嚴(yán)重的安全隱患。同樣是4月8日，微軟官方全面停止對Windows XP系統(tǒng)的支持和補(bǔ)丁的更新，為Windows XP系統(tǒng)帶來了出現(xiàn)漏洞無法修補(bǔ)的隱憂。

“心臟出血”之所以被嚴(yán)明稱為強(qiáng)地震級別，是因為SSL早已成為互聯(lián)網(wǎng)上普遍使用的加密協(xié)議，被廣泛應(yīng)用在各類網(wǎng)站上，特別是金融、支付、郵件等需要較高安全級別的互聯(lián)網(wǎng)應(yīng)用上。而OpeonSSL由于是開源的SSl套件，應(yīng)用的范圍更加廣泛。有人估算，大約有三分之二的網(wǎng)站都在使用OpeonSSL的加密工具，而加密工具本身出現(xiàn)安全漏洞，后果不堪設(shè)想。

據(jù)了解，“心臟出血”漏洞能讓攻擊者從服務(wù)器內(nèi)存中讀取包括用戶名、密碼和信用卡號等隱私信息在內(nèi)的數(shù)據(jù)。雖然利用該漏洞可被讀取的信息不多，但是如果攻擊者反復(fù)進(jìn)行內(nèi)存讀取，仍然可以獲得大量的用戶隱私信息。更為重要的是，該漏洞已經(jīng)存在了兩年之久。在這兩年內(nèi)，究竟有多少攻擊者利用該漏洞獲取了多少隱私信息，想想就讓人不寒而栗。

我們一直強(qiáng)調(diào)，當(dāng)風(fēng)暴來臨時，除了專業(yè)的機(jī)構(gòu)為抵御風(fēng)暴所做的努力外，每個人都應(yīng)該盡量做好自己的安全防護(hù)，自己為自己的安全負(fù)責(zé)。事實上，在信息安全領(lǐng)域，用戶每一個良好的使用習(xí)慣，可能比安全廠商所做的很多努力都更為有效，因為防患于未然總比亡羊補(bǔ)牢強(qiáng)得多。

下面，我們就為讀者提供幾條建議，幫助大家應(yīng)對我們不得不接觸、不得不面對的互聯(lián)網(wǎng)安全威脅。首先是更改密碼，并使用兩步驗證。受過去兩年“心臟出血”漏洞的影響，一些用戶的通信記錄可能會遭到攔截，為了避免發(fā)生這樣的情況，更改密碼仍然是用戶首先要做的。而且，很多網(wǎng)站都提供兩步驗證功能，即在更改密碼時還需要回答問題或者短信驗證，這樣就為用戶的密碼提供了更好的保障。其次是監(jiān)控近期的賬戶活動?，F(xiàn)在很多網(wǎng)站都會提供賬戶登錄記錄，比如該賬戶在何時、何地通過什么樣的設(shè)備登錄等。請讀者留意自己的互聯(lián)網(wǎng)應(yīng)用賬戶的登錄情況，如果發(fā)現(xiàn)登錄異常則應(yīng)立即更改密碼。再次是盡快安裝自己系統(tǒng)的安全升級補(bǔ)丁，這是填補(bǔ)自身系統(tǒng)漏洞的最為有效的手段。最后是當(dāng)心公共場所的無線網(wǎng)絡(luò)。因為智能手機(jī)與公共無線網(wǎng)絡(luò)連接在一起的設(shè)置很容易被攻擊者利用。（程彥博）endprint