新闻链接：http://news.xinhuanet.com/2014-04/12/c_126383235.htm
新闻时间：2014年04月12日 00:02:33
新闻正文：
    新华网北京4月11日电（记者程士华　南婷）高危安全漏洞“心脏出血”，正在威胁全球互联网安全。用户信息可能被任意盗取，网银、支付宝、邮箱、VPN无一幸免。自漏洞曝出以来，影响仍在持续发酵，一些个人信息被泄露，成为地下交易的筹码；一些知名电商网站虽然完成了修复，但仍有部分反应迟钝。专家指出，漏洞“心出血”余波影响仍将持续，在“心脏出血”漏洞逐渐修补结束后，由于用户很多软件中也存在该漏洞，黑客攻击目标存在从服务器转向客户端的可能性，下一步有可能出现“血崩”攻击，公众应注意防范。

    高危漏洞突袭互联网 地下黑市贩卖非法数据异常火爆

    记者在一名资深网络安全领域技术专家提供的数据中看到，某省一工程类人员相关信息数据一览无余，比如工作编号、姓名、身份证号码等信息，不仅有着具体的个人信息，还有这些人员在相关网站登录时使用的密码、验证信息等。

    网络安全领域资深人士透露，由于OpenSSL漏洞的出现，8日、9日的地下交易市场中，各种兜售非法数据的交易显得异常火爆。

    这是一次多年罕见的互联网安全危机。8日，常用于电商、网银等安全性极高网站的网络安全协议OpenSSL被曝出存在安全漏洞“心脏出血”，危及全球包括银行、电商在内关键部门和普通用户财产和信息安全。一旦被恶意利用，意味着用户登录这些电商、网银的账户、密码等关键信息都将泄露。

    越是知名的大网站，越是容易受到不法分子利用漏洞进行攻击。11日，北京知道创宇信息技术有限公司研究部总监钟晨鸣在接受采访时表示，在初期评估中，认为此次漏洞仅影响为数众多使用https的网站，即公众熟知并且经常访问的微信、淘宝、各个网银、社交、门户等知名网站。然而，在进一步详细评估后发现还将影响VPN、FTP等服务。

    这一点在国内知名的漏洞安全平台——乌云漏洞报告平台那里得到了验证。据该平台负责人方小顿介绍，白帽子（指不参与恶意攻击的黑客）报告了部分VPN产品也受到本次OpenSSL“心脏出血”漏洞影响，攻击者有可能监听到内存中泄漏的员工账号密码，进而接入企业内部网络，截获内部员工敏感数据通信。该问题影响大型互联网企业、银行、证券、政府、高校等机构。

    部分企业反应迟钝 仍有服务器没修补

    除了大量个人信息数据被泄露之外，很多企业也受到此次漏洞的冲击影响。北京知道创宇公司首席执行官杨冀龙说，截至9日晚的数据，知道创宇公司通过监测ZoomEye实时扫描数据分析发现，国内12306铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕，但还有一些网站没有完成修复。

    奇虎360首席隐私官谭晓生说，比如某网银网站，黑客放出来一个针对漏洞的攻击代码，不断往该网站服务器发一个通信包，每发一个通信包收回来64K的数据，再发一个包又收回64K数据，不断的发包，可以慢慢获得服务器内存数据，64K是6万多个字节，里面可以存储很大的信息量。

    一位安全行业人士透露，他在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功地登录了该网站。

    钟晨鸣表示，问题在于这个漏洞出现于2012年，至今两年多，谁也不知道是否已经有黑客利用漏洞获取了用户资料；该漏洞即使被入侵也不会在服务器日志中留下痕迹，所以目前还没有办法确认哪些服务器被入侵，也就没法定位损失、确认泄露信息。

    针对个人如何避免损失，杨冀龙建议，对于一些已经完成升级修补的网站，用户应当尽快登录网站更改自己的密码等重要信息。即使用户之前登录的网站发生了泄密，因为黑客掌握的账号密码的数量庞大，短时间内无法消化使用，所以对于单个用户而言，尽快更改密码设置是非常必要的。但是，对于一些邮箱类网站，即使更改密码可能也无济于事，因为如果黑客可能已经偷走了cookie缓存，而用这个是可以直接登录邮箱的。

    警惕“出血”尚未停止 “血崩”又来突袭

    记者从国内最大的网络安全公司奇虎360获悉，即使自己的账户密码已经泄露，普通网民也是无法了解，因为黑客是直接从存在漏洞的网站主机抓取数据。根据目前360网购先赔的用户反馈，最近两天由于账号被盗的网购受害案例数量有小幅增加，但目前受害网友也无法确定账号被盗的具体原因。

    本次漏洞危害将会持续一段时间。谭晓生分析认为，这次漏洞危害与之前出现的漏洞危害差别很大。在之前出现的安全漏洞中，发现漏洞补了之后，不再出现损失了。但是这次的危害是在账户密码泄露后才发生的，比如张三的卡号和支付密码被盗走了，但张三不知情，黑客可能不会立即取钱，而是过了一个月之后，大家的警惕性都降低了，黑客才去利用账号和密码取钱。

    据360漏洞实验室分析认为，OpenSSL漏洞不仅影响以https开头的网站，黑客还可利用此漏洞直接对个人PC发起“血崩”攻击。据分析，Windows上有大量软件使用了存在漏洞的OpenSSL代码库，可能被黑客攻击抓取用户电脑上的内存数据。

    不过，这种对普通网民客户端的攻击虽然具有可行性，但在实践中是否会大面积发生还难以确定。杨冀龙表示，如果没有明显的利益驱动，黑客要攻击普通网民的概率很低。因为要攻击客户端，操作上难度很高，需要先让普通网民访问指定服务器，或者直接把该服务器黑掉等，即使操作成功了，黑客能读到敏感信息的概率也低太多了，简单而言，就是性价比实在太低，估计没有黑客愿意去干，但是金融、涉密等特殊部门的用户客户端，则有可能对黑客颇具吸引力。
分享到：
分享到

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课