全球互聯網大佬緊急排險

　　本周二，黑客和“白帽”(使用正當手段優化網站的IT人士)們經歷了一個不眠之夜。

　　他們有的在狂歡，逐個進入戒備森嚴的網站，耐心地收集泄漏數據，拼湊出用戶的明文密碼;有的在艱苦升級系統，統計漏洞信息，還要準備說服客戶的說辭，讓他們意識到問題的嚴重性……

　　當天，從亞馬遜到雅虎，多個國際大牌互聯網公司都召開緊急會議，應對最新發現的互聯網漏洞“心臟出血(Heart bleed)”。這是發現者們給這個號稱本年度最嚴重安全漏洞起的形象的名字。

　　“心臟出血”是Open SSL(作為互聯網的基礎安全協議，它被廣泛運用，全球約2/3網站都使用該技術)中的一個漏洞，后者是旨在保證互聯網通訊安全的一種加密協議。周一被曝光的漏洞影響了互聯網的許多方面，因為Open SSL是Apache Web服務器的默認安全通訊選項。Open SSL在虛擬專用網絡(VPN)技術中也被普遍使用，后者是一種能讓企業員工遠程連上公司網進行工作的技術。

　　安全專家們說，“心臟出血”漏洞將影響至少2億中國網民，經初步評估，一批采用“https”登錄方式的主流網站，有不少于30%的網站中招，其中包括大家最常用的購物、網銀、社交、門戶、微博、微信、郵箱等知名網站和服務。利用這一漏洞，黑客可以坐在自己家中，就獲取到用戶的登錄賬號、密碼、cookie等敏感數據。

　　一位安全行業人士透露，他曾在某著名電商網站上用這個漏洞嘗試讀取數據，在讀取200次后，獲得了40多個用戶名、7個密碼，用這些密碼，他成功地登錄了該網站。

　　同時，經360網絡攻防實驗室檢測發現，全球開放443端口的主機共有40041126個，其中受“心臟出血”漏洞影響的主機超過3.2萬個。

　　360安全專家石曉虹告訴記者，Open SSL最新被發現的這一漏洞堪稱“網絡核彈”，網銀、網購、網上支付、郵箱等眾多網站都可能受其影響。無論用戶電腦多么安全，只要網站使用了存在漏洞的Open SSL 版本，用戶登錄該網站時就可能被黑客實時監控到登錄賬號和密碼。

　　石曉虹提醒廣大互聯網服務商，盡快將Open SSL 升級，以進行修復，同時建議廣大網友，在此漏洞得到修復前，暫時不要在受到漏洞影響的網站上登錄賬號。

　　另有專家在接受媒體采訪時建議普通用戶，暫時不要急于更換密碼，要保持耐心，等待相關網站完成修補安全漏洞之后再更換密碼，因為如果網站還未修復漏洞，修改密碼的操作反而可能導致新密碼被竊。應當關注自己登錄的網站是否已經修復，一旦確認漏洞被修復，立即修改密碼。

　　而瑞星安全專家唐威在接受記者采訪時則認為，這個漏洞影響可能沒有那么大，因為它只是針對特定版本。“升級到最新的Open SSL版本，后期定期打補丁，就可以消除掉這一漏洞，這是相關互聯網企業目前最便捷的做法。”

　　但不管怎樣，這一漏洞被發現后，亞馬遜、雅虎等多個全球著名互聯網企業和密碼管理公司Last Pass等都紛紛表示在給Open SSL軟件打上最新發布的補丁。