《企业网D1Net》4月16日讯

近日来，“心脏出血”已经成为各大网站的头版头条，自4月8号，互联网基础组件OpenSSL安全漏洞的爆出，这一被命名为“心脏出血”的漏洞，让攻击的黑客、维护网络安全的“白帽子”、修复升级系统版本的互联网公司等纷纷闻“血”而动，网民则在毫不知情的情况下访问着已处于“裸奔”状态的站点。据统计，仅7日、8日期间，就有共计约2亿网友访问了存在OpenSSL漏洞的网站。

门锁成废锁，“心脏出血”让互联网现伤口

在互联网的世界里，“漏洞”从来都不是一个低曝光率的词，这一次，爆出漏洞的是互联网基础组件OpenSSL。

OpenSSL是什么？“SSL是为网络通信提供安全及数据完整性的一种安全协议，也是一种流行的加密技术，可以保护用户通过互联网传输的隐私信息。”360安全专家安扬告诉记者，“OpenSSL是基于SSL的开源免费软件，由于免费和易用，是目前互联网上应用最广泛的安全传输方法。”形象地说，OpenSSL可以看作互联网上销量最大的“门锁”，此次爆出的漏洞，让特定版本的OpenSSL成为无需“钥匙”即可开启的“废锁”。这个漏洞被命名为“心脏出血”。

“心脏出血”是如何影响互联网安全的呢？有专家表示,“心脏出血”是OpenSSL源代码出现的一个漏洞，这个漏洞的本质是内存泄漏。这一漏洞的存在，可以让攻击者获得服务器返回的64KB的内存数据。这部分数据中，可能存有安全证书、用户名与密码、电子邮件以及重要的商业文档等数据。虽然攻击者每次只能翻检64KB大小的信息，但只要他有足够的耐心和时间，就能找出足够多的数据以拼凑完整的数据信息。

在国家信息安全漏洞共享平台（CNVD）上，该漏洞的综合评级为“高危”。由CNVD组织完成的多个测试实例表明，根据对应OpenSSL服务器承载业务类型，攻击者一般可获得用户实时连接的用户账号密码、会话Cookies等敏感信息，进一步可直接取得相关用户权限，窃取私密数据或执行非授权操作。一位安全行业人士亲自验证后透露，他在某著名电商网站用“心脏出血”漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功登录了该网站。

360安全专家石晓虹表示，此次OpenSSL漏洞堪称“网络核弹”，很多隐私信息都存储在网站服务器的内存中，无论用户电脑多么安全，只要网站使用了存在漏洞的OpenSSL版本，用户登录该网站时就可能被黑客实时监控到登录账号和密码。

安扬表示，OpenSSL漏洞风险极高，不仅普通网民受到影响，而且很多核心机构和各大公司集团也正在遭遇一场信息安全危机。

D1Net评论：

“心脏出血”凸显网络安全之殇，然而，在多数人认为此漏洞危害十分严重的同时，也有一部分认为对于此事件不应大惊小怪，他们认为“心脏出血”漏洞有被夸大的嫌疑，网民不必过分担心。但是，从客观上说，网络安全无小事，任何安全漏洞都能够引发互联网大灾难，切不可掉以轻心。