阿裏京東已修複 用戶需修改密碼

　　4月8日外媒爆出，研究人員發現OpenSSL漏洞遍及全球互聯網公司，並為其起了個形象的名字“心髒出血”，中國超過3萬台主機受波及，國內網站和安全廠商技術人員為檢查、搶修徹夜未眠。截至昨天，有超30%的主機已經修複，“大站”紛紛表示安全，但技術人士稱，消費者敏感信息是否泄露還有待日後觀察。

　　□事件

　　OpenSSL漏洞曝光

　　4月8日，OpenSSL的大漏洞曝光，外國黑客將其命名為“heartbleed”，用最致命的內傷“心髒出血”描述事件的嚴重性。該漏洞是由Codenomicon和穀歌安全部門的研究人員獨立發現的。不過據外媒報道，為了將影響降到最低，研究人員已經與OpenSSL團隊和其他關鍵的內部人士展開了合作，在公布該問題前就已經準備好修複方案。

　　OpenSSL是為網絡通信提供安全及數據完整性的一種安全協議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協議，各大網銀、在線支付、電商網站、門戶網站、電子郵件等重要網站上廣泛使用。知道創宇網站安全部總監餘弦將OpenSSL形容為“互聯網上銷量最大的門鎖”。此次爆出的這個漏洞，則讓特定版本的OpenSSL成為無需鑰匙即可開啟的廢鎖，入侵者每次可以翻檢戶主的64K信息，隻要有足夠的耐心和時間，他可以翻檢足夠多的數據，拚湊出戶主的銀行密碼、私信等敏感數據。

　　“簡單識別網站應用是否采用SSL加密，隻需要看瀏覽器地址欄是http，還是https，後者就是用SSL加密的。通常是非常關鍵的網絡服務，比如郵箱、支付、銀行。”金山毒霸安全專家李鐵軍說。

　　“有這樣千載難逢的機會，黑客們是舍不得睡覺的。他們會想盡辦法多獲取一些服務器上的信息。”360公司技術副總裁譚曉生說。

　　□影響

　　互聯網安全大地震

　　“這是近兩年來最嚴重的一次網絡安全危機。”360公司技術副總裁譚曉生評價，在以https開頭的網站中，初步評估有不少於30%的網站中招，其中包括大家最常用的購物、網銀、社交、門戶等知名網站，而在手機APP的網銀客戶端中，則有至少50%存在風險。

　　據南京翰海源信息技術有限公司創始人方興介紹，通俗來講，通過這個漏洞，可以泄露以下四方麵內容：一是私鑰，所有https站點的加密內容全能破解；二是網站用戶密碼，用戶資產如網銀隱私數據被盜取；三是服務器配置和源碼，服務器可以被攻破；四是服務器掛掉不能提供服務。

　　一位安全行業人士透露，他在某著名電商網站上用這個漏洞嚐試讀取數據，在讀取200次後，獲得了40多個用戶名、7個密碼，用這些密碼，他成功地登錄了該網站。

　　昨天下午，來自知道創宇ZoomEye網絡空間搜索引擎的監控顯示，國內有22611台主機受影響，而前天這個數字是33303，可以看到情況正在好轉，超過30%的主機已經修複。

　　“漏洞被挖掘出來以後，帶來的危害並不會非常快地顯現。”瑞星安全專家唐威告訴記者，現階段企業層麵能做的也是對使用的OpenSSL進行排查和升級。

　　不過，昨天也有業內人士稱，這個漏洞其實並沒那麽可怕，因為這是一個舊版本OpenSSL的安全漏洞，開發者把服務器程序升級到OpenSSL1.0.1g就可以解決。

　　□回應

　　銀行銀聯支付不受影響

　　對於OpenSSL的漏洞，有傳言稱即便是銀行網上支付、U盾、銀聯支付也都並不安全。不過，業內人士昨天向記者坦言，該漏洞對銀行網上支付、銀行U盾使用及銀聯的影響幾乎為零。

　　中國金融認證中心應用開發部總經理林峰表示，OpenSSL的這個漏洞是由於代碼實現不嚴謹造成的。這個漏洞存在於OpenSSL1.0.1係列版本中，之前的OpenSSL版本不受影響。天貓、淘寶使用的正是這個係列的版本，所以可以竊取到內存中的數據。

　　“如果銀行使用了帶有該漏洞的OpenSSL開源軟件版本，會有一定的影響。但是這個漏洞隻是竊取內存中的數據，銀行的用戶密碼還有一重加密保護，一般不會在SSL服務器解密，所以也就很難拿到銀行用戶的密碼。”

　　林峰還表示，其實這個OpenSSL的漏洞和U盾的安全性沒有什麽聯係，因為用戶的交易敏感信息是通過USB接口送入U盾後，在U盾內部進行加密和數字簽名運算，SSL協議是對U盾加密簽名後的數據再進行一次傳輸層的加密。這次OpenSSL的漏洞對U盾沒有影響。

　　此外，中國銀聯相關負責人昨天也回應稱，銀聯核心跨行交易係統運營基於專用網絡，與漏洞事件無關。該負責人稱，“銀聯在線支付”等基於互聯網的創新業務係統並未使用OpenSSL技術，對於個別外圍供應商可能存在的OpenSSL漏洞，銀聯已通過主動排查，在烏雲網等技術人士公開漏洞事件前就已協調供應商消除了隱患，持卡人可以放心使用。

　　微軟百度稱未受影響

　　昨天，微軟中國方麵向記者回應稱，沒有任何微軟產品受到此漏洞的影響。OpenSSL是開源用以實現SSL協議的產品，微軟並沒有在旗下產品和服務中使用此開源的解決方案。據悉，多數商業公司使用的SSL加密都是付費的，與本次暴露出漏洞的OpenSSL關係不大。

　　百度方麵也表示，百度錢包不受影響。

　　電商當當網表示，當當網固有的賬戶體係非常安全，消費者可放心購物。

　　盛大方麵表示，盛大通行證的認證主要是通過硬件加密等方式來使用https協議，目前已經和供應商確認過，一方麵所使用的OpenSSL版本不是會受影響，另一方麵針對有可能出現的安全隱患，已在第一時間通過升級進行了處理。

　　阿裏京東回應已修複

　　昨天早上，此次漏洞事件引發最多泄密擔憂的阿裏係急忙表示漏洞已經修複。阿裏安全回應稱，關於OpenSSL某些版本存在基於基礎協議的通用漏洞，阿裏各網站已經在第一時間進行了修複處理，目前已經處理完畢，包括淘寶、天貓、支付寶等各大網站都確認可以放心使用。其中淘寶方麵還透露，從目前監控的情況來看，未發現賬戶異常。

　　京東則表示，已於昨天完成了修補處理，避免了這次漏洞的侵襲。

　　騰訊昨天早上也發聲明稱，騰訊已在第一時間進行處理，目前相關的產品業務如郵箱、財付通、QQ、微信等都已經修複完畢。

　　網易郵箱方麵告訴記者，烏雲報告提到的網易郵箱OpenSSL漏洞，經過網易郵箱查證，所列域名都是指向了CDN(內容分發網絡)服務，收到報告後網易郵箱第一時間反饋給CDN服務商，當晚已經修複。

　　此外，全球互聯網巨頭雅虎、穀歌和Facebook也紛紛表示已修複漏洞。穀歌表示：“我們已經評估了SSL漏洞，並且給穀歌的關鍵服務打上了補丁。”

　　誰能利用“心髒出血”漏洞？

　　“對於了解這項漏洞的人，要對其加以利用並不困難。”普林斯頓大學計算機科學家菲爾騰說。利用這項漏洞的軟件在網上有很多，雖然這些軟件並不像iPad應用那麽容易使用，但任何擁有基本編程技能的人都能學會它的使用方法。

　　當然，這項漏洞對情報機構的價值或許最大，他們擁有足夠的基礎設施來對用戶流量展開大規模攔截。

　　□消費者應對

　　網站修複漏洞後用戶需修改密碼

　　360公司技術副總裁譚曉生建議，在4月7日和8日兩天登錄過存在漏洞的網站的網友，首先需要確認曾經登錄的網站是否已經進行了升級修複，可看該網站是否發布相關的公告，也可通過360網站衛士推出的OpenSSL漏洞在線檢查工具，輸入網址檢測網站是否存在該漏洞。如果相關網站已完成了修複，則用戶需要將使用過的用戶名、密碼等個人信息進行修改；如果登錄過的網站仍然未能完成修複，“那很遺憾，用戶隻有坐等對方修複。”

　　金山毒霸安全專家李鐵軍表示，對重要服務，要盡可能開通手機驗證或動態密碼，比如支付寶、郵箱等。

　　“針對OpenSSL漏洞，黑客的攻擊方式是不斷發動數據包攻擊，每次攻擊能夠從服務器內存上得到大小為64K的數據，不過獲得的數據是零散無序的，黑客想要獲得真正有用的信息，需要把累計獲得的數據進行整理分析，這需要一個時間過程，因此，在這兩天內及時完成密碼修改，就不會有太大的問題。”譚曉生提醒說，不過，即便網站完成修複，也並不意味著天下太平了，未來是否有新的危險還不得而知。

　　此外，在網站漏洞修複前，不要網購或網上支付，以免受到損失。一個密碼的使用時間不宜過長，超過3個月就該換掉了。

　　什麽是SSL？

　　SSL是一種流行的加密技術，可以保護用戶通過互聯網傳輸的隱私信息。網站采用此加密技術後，第三方無法讀取你與該網站之間的任何通訊信息。在後台，通過SSL加密的數據隻有接收者才能解密。

　　SSL最早在1994年由網景推出，1990年代以來已經被所有主流瀏覽器采納。

　　什麽是“心髒出血”漏洞？

　　SSL標準包含一個心跳選項，允許SSL連接一端的電腦發出一條簡短的信息，確認另一端的電腦仍然在線，並獲取反饋。研究人員發現，可以通過巧妙的手段發出惡意心跳信息，欺騙另一端的電腦泄露機密信息。受影響的電腦可能會因此而被騙，並發送服務器內存中的信息。

　　誰發現的這個問題？

　　該漏洞是由Codenomicon和穀歌安全部門的研究人員獨立發現的。為了將影響降到最低，研究人員已經與OpenSSL團隊和其他關鍵的內部人士展開了合作，在公布該問題前就已經準備好修複方案。