《企業網D1Net》4月16日訊

近日來，“心臟出血”已經成為各大網站的頭版頭條，自4月8號，互聯網基礎組件OpenSSL安全漏洞的爆出，這一被命名為“心臟出血”的漏洞，讓攻擊的黑客、維護網絡安全的“白帽子”、修復升級系統版本的互聯網公司等紛紛聞“血”而動，網民則在毫不知情的情況下訪問著已處于“裸奔”狀態的站點。據統計，僅7日、8日期間，就有共計約2億網友訪問了存在OpenSSL漏洞的網站。

門鎖成廢鎖，“心臟出血”讓互聯網現傷口

在互聯網的世界里，“漏洞”從來都不是一個低曝光率的詞，這一次，爆出漏洞的是互聯網基礎組件OpenSSL。

OpenSSL是什么？“SSL是為網絡通信提供安全及數據完整性的一種安全協議，也是一種流行的加密技術，可以保護用戶通過互聯網傳輸的隱私信息。”360安全專家安揚告訴記者，“OpenSSL是基于SSL的開源免費軟件，由于免費和易用，是目前互聯網上應用最廣泛的安全傳輸方法。”形象地說，OpenSSL可以看作互聯網上銷量最大的“門鎖”，此次爆出的漏洞，讓特定版本的OpenSSL成為無需“鑰匙”即可開啟的“廢鎖”。這個漏洞被命名為“心臟出血”。

“心臟出血”是如何影響互聯網安全的呢？有專家表示,“心臟出血”是OpenSSL源代碼出現的一個漏洞，這個漏洞的本質是內存泄漏。這一漏洞的存在，可以讓攻擊者獲得服務器返回的64KB的內存數據。這部分數據中，可能存有安全證書、用戶名與密碼、電子郵件以及重要的商業文檔等數據。雖然攻擊者每次只能翻檢64KB大小的信息，但只要他有足夠的耐心和時間，就能找出足夠多的數據以拼湊完整的數據信息。

在國家信息安全漏洞共享平臺（CNVD）上，該漏洞的綜合評級為“高危”。由CNVD組織完成的多個測試實例表明，根據對應OpenSSL服務器承載業務類型，攻擊者一般可獲得用戶實時連接的用戶賬號密碼、會話Cookies等敏感信息，進一步可直接取得相關用戶權限，竊取私密數據或執行非授權操作。一位安全行業人士親自驗證后透露，他在某著名電商網站用“心臟出血”漏洞嘗試讀取數據，在讀取200次后，獲得了40多個用戶名、7個密碼，用這些密碼，他成功登錄了該網站。

360安全專家石曉虹表示，此次OpenSSL漏洞堪稱“網絡核彈”，很多隱私信息都存儲在網站服務器的內存中，無論用戶電腦多么安全，只要網站使用了存在漏洞的OpenSSL版本，用戶登錄該網站時就可能被黑客實時監控到登錄賬號和密碼。

安揚表示，OpenSSL漏洞風險極高，不僅普通網民受到影響，而且很多核心機構和各大公司集團也正在遭遇一場信息安全危機。

D1Net評論：

“心臟出血”凸顯網絡安全之殤，然而，在多數人認為此漏洞危害十分嚴重的同時，也有一部分認為對于此事件不應大驚小怪，他們認為“心臟出血”漏洞有被夸大的嫌疑，網民不必過分擔心。但是，從客觀上說，網絡安全無小事，任何安全漏洞都能夠引發互聯網大災難，切不可掉以輕心。