OpenSSL漏洞：黑客与白帽们的拉锯战

对于黑客和白帽们来说，这是不眠之夜。他们有的在狂欢，有的在防御，甚至还要准备说服客户的说辞，让他们意识到问题的严重性。

【砍柴网推荐】昨日，OpenSSL(为网络通信提供安全及数据完整性的一种安全协议)爆出本年度最严重的安全漏洞。利用该漏洞，黑客坐在自己家里电脑前，就可以实时获取到很多以https开头网址的用户登录账号密码，包括大批网银、知名购物网站、电子邮件等。对于这则 毁灭性的 安全漏洞，多家安全厂商表示发布紧急预警，提醒各大互联网服务商尽快修复该漏洞。

黑客与白帽们的拉锯战

对于黑客和白帽们来说，这是不眠之夜。他们有的在狂欢，有的在防御，甚至还要准备说服客户的说辞，让他们意识到问题的严重性。

北京知道创宇公司的余弦守在电脑屏幕前彻夜未眠。作为一家高速发展的安全企业研究部总监，余弦在国内黑客圈资历颇深。余弦告诉砍柴网记者，该漏洞是由安全公司Codenomicon和谷歌安全工程师发现的，并提交给相关管理机构，随后官方很快发布了漏洞的修复方案。4月7号，程序员Sean Cassidy则在自己的博客上详细描述了这个漏洞的机制。

余弦披露，OpenSSL的源代码中存在一个漏洞，可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中，可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。

一位安全行业人士在网上透露，他在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功地登录了该网站。

发现者们给这个漏洞起了个形象的名字：heartbleed，心脏出血。这一夜，互联网的安全核心，真的开始滴血。

OpenSSL漏洞波及网银电商等核心领域

余弦则以对问题进行了精确的定量分析。4月8日的不眠之夜中，他除了在Twitter和各大论坛中实时跟踪事态的最新进展，更重要的精力放在了ZoomEye系统的扫描上。

从该系统 体检 结果看，比三万台问题服务器更令人惊心的，是这些服务器的分布：它们有的在银行网银系统中，有的被部署在第三方支付里，有的在大型电商网站，还有的在邮箱、即时通讯系统中。

这个漏洞实际上出现于2012年，至今两年多，谁也不知道是否已经 有骇客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹，所以目前还没有办法确认哪些服务器被入侵，也就没法定位损失、确认泄漏信息，从而通知用户进行补救。

对于普通用户来说，余弦建议在确认有关网站安全之前，不要使用网银、电子支付和电商购物等功能，以避免用户密码被钻了漏洞的骇客捕获。 一位银行朋友告诉我，他们补上这个漏洞需要两天时间。这两天大家最好就别登录网银了，确认安全后再登。如果已经登录过了，那就考虑换一下密码吧。

由于 心脏出血 漏洞的广泛性和隐蔽性，未来几天可能还将会陆续有问题爆出。在互联网飞速发展的今天，一些协议级、基础设施级漏洞的出现，可能会打击人们使用互联网的信心，更为直观的可能会导致企业和用户的财产遭受损失。（本文改编阳淼《互联网安全不眠夜： 心脏出血 ，波及网银电商》）