文/特約編輯 鄭先偉

心臟出血漏洞事件再次顯示出了網(wǎng)絡(luò)安全的脆弱性，更留待我們思考，是否該轉(zhuǎn)變互聯(lián)網(wǎng)的安全防護(hù)措施。

2014年4月8日，互聯(lián)網(wǎng)常用的開(kāi)源加密庫(kù)OpenSSL被曝出存在一個(gè)安全漏洞，可以導(dǎo)致攻擊者獲取原本應(yīng)該加密的明文敏感信息，漏洞的發(fā)現(xiàn)者將這個(gè)漏洞命名為“Heartbleed”，中文直譯就是心臟出血。漏洞被公布后不久，心臟出血四個(gè)字就迅速成為各大媒體關(guān)注的熱點(diǎn)，甚至于新聞聯(lián)播也首次將一個(gè)漏洞作為獨(dú)立的新聞來(lái)播報(bào)，這在此之前是從未出現(xiàn)過(guò)的。

漏洞危害

這個(gè)被業(yè)內(nèi)稱為2014年度最重大的安全漏洞到底是什么樣的呢，為何會(huì)引起大家如此高的關(guān)注？它又有哪些危害？

其實(shí)根本原因就是基礎(chǔ)的安全通信方式出了問(wèn)題。OpenSSL的“心跳模塊”存在一個(gè)漏洞，可以讓攻擊者直接獲取服務(wù)器上64K內(nèi)存中的數(shù)據(jù)內(nèi)容。由于內(nèi)存中存儲(chǔ)的是未加密的明文信息，因此該漏洞可能導(dǎo)致用戶使用加密業(yè)務(wù)過(guò)程中那些原本應(yīng)該加密的信息（如用戶名及密碼、Cookie信息、銀行賬號(hào)等）直接以明文的形式被攻擊者獲取，這也是為什么這個(gè)漏洞引起大家關(guān)注的主要原因。雖然攻擊者每次只能獲取64K的信息，但是如果其以程序輪詢的方式則可以獲得大量的信息，由于這些操作都是在內(nèi)存中完成的，所以利用漏洞的攻擊很難體現(xiàn)在日志等記錄中，也就很難被發(fā)現(xiàn)。

據(jù)透露，其實(shí)OpenSSL加密代碼中的Heartbleed漏洞已存在兩年之久，而三分之二活躍的網(wǎng)站都在使用該存在缺陷的加密協(xié)議。比如我們經(jīng)常訪問(wèn)的支付寶、淘寶、微信公眾號(hào)、網(wǎng)銀、門(mén)戶等各種網(wǎng)站，基本上都已中招。而在國(guó)外，受到波及的網(wǎng)站也數(shù)不勝數(shù)，如雅虎、Imgur、FBI甚至是NASA(美國(guó)航空航天局)，用戶數(shù)據(jù)庫(kù)都遭到了泄露。

解決之道

如何解決OpenSSL心臟出血漏洞帶來(lái)的潛在威脅，以避免隱私數(shù)據(jù)被泄露呢？廠商目前已經(jīng)在OpenSSL 1.0.1g版本中修補(bǔ)了該漏洞，那么提供相關(guān)加密服務(wù)的管理員應(yīng)該保證自己服務(wù)程序中所使用的OpenSSL要升級(jí)到最新版本。

對(duì)于普通用戶來(lái)說(shuō)，“心臟出血”漏洞并不涉及普通用戶自用的計(jì)算機(jī)，用戶無(wú)法自行修補(bǔ)該漏洞，只要登錄了受影響的網(wǎng)站，如果該網(wǎng)站不進(jìn)行修復(fù)，那么更改的新密碼依然會(huì)受到威脅。因此，訪問(wèn)HTTPS這類加密服務(wù)時(shí)應(yīng)該選擇一些大型的可信任的網(wǎng)站，并定期更改自己的用戶密碼。在確認(rèn)網(wǎng)站安全之前，最好不要使用網(wǎng)銀、電子支付和電商購(gòu)物等功能，以免數(shù)據(jù)正好被黑客捕獲。

心臟出血漏洞事件再次顯示出了網(wǎng)絡(luò)安全的脆弱性，更留待我們思考，是否該轉(zhuǎn)變互聯(lián)網(wǎng)的安全防護(hù)措施。許多安全方面專家認(rèn)為，是時(shí)候?qū)⑷旨用鼙Ｗo(hù)運(yùn)用到整個(gè)網(wǎng)絡(luò)了。這意味著用戶即使是上網(wǎng)看新聞或是訂外送都會(huì)受到安全保護(hù)。但是，這一說(shuō)法目前還存在爭(zhēng)議，并且全網(wǎng)都開(kāi)始使用HTTPS協(xié)議還有些不現(xiàn)實(shí)，但是至少應(yīng)該有越來(lái)越多的網(wǎng)站應(yīng)默認(rèn)使用HTTPS協(xié)議。