“网络核弹”当前 全球互联网大佬紧急排险

“网络核弹”当前，全球互联网大佬紧急排险

专家建议，网站未打补丁前别急着修改密码

本周二，黑客和“白帽”（使用正当手段优化网站的IT人士）们经历了一个不眠之夜。

他们有的在狂欢，逐个进入戒备森严的网站，耐心地收集泄漏数据，拼凑出用户的明文密码；有的在艰苦升级系统，统计漏洞信息，还要准备说服客户的说辞，让他们意识到问题的严重性……

当天，从亚马逊到雅虎，多个国际大牌互联网公司都召开紧急会议，应对最新发现的互联网漏洞“心脏出血（Heart bleed）”。这是发现者们给这个号称本年度最严重安全漏洞起的形象的名字。

“心脏出血”是Open SSL（作为互联网的基础安全协议，它被广泛运用，全球约2/3网站都使用该技术）中的一个漏洞，后者是旨在保证互联网通讯安全的一种加密协议。周一被曝光的漏洞影响了互联网的许多方面，因为Open SSL是Apache Web服务器的默认安全通讯选项。Open SSL在虚拟专用网络（VPN）技术中也被普遍使用，后者是一种能让企业员工远程连上公司网进行工作的技术。

安全专家们说，“心脏出血”漏洞将影响至少2亿中国网民，经初步评估，一批采用“https”登录方式的主流网站，有不少于30%的网站中招，其中包括大家最常用的购物、网银、社交、门户、微博、微信、邮箱等知名网站和服务。利用这一漏洞，黑客可以坐在自己家中，就获取到用户的登录账号、密码、cookie等敏感数据。

一位安全行业人士透露，他曾在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功地登录了该网站。

同时，经360网络攻防实验室检测发现，全球开放443端口的主机共有40041126个，其中受“心脏出血”漏洞影响的主机超过3.2万个。

360安全专家石晓虹告诉记者，Open SSL最新被发现的这一漏洞堪称“网络核弹”，网银、网购、网上支付、邮箱等众多网站都可能受其影响。无论用户电脑多么安全，只要网站使用了存在漏洞的Open SSL 版本，用户登录该网站时就可能被黑客实时监控到登录账号和密码。

石晓虹提醒广大互联网服务商，尽快将Open SSL 升级，以进行修复，同时建议广大网友，在此漏洞得到修复前，暂时不要在受到漏洞影响的网站上登录账号。

另有专家在接受媒体采访时建议普通用户，暂时不要急于更换密码，要保持耐心，等待相关网站完成修补安全漏洞之后再更换密码，因为如果网站还未修复漏洞，修改密码的操作反而可能导致新密码被窃。应当关注自己登录的网站是否已经修复，一旦确认漏洞被修复，立即修改密码。

而瑞星安全专家唐威在接受记者采访时则认为，这个漏洞影响可能没有那么大，因为它只是针对特定版本。“升级到最新的Open SSL版本，后期定期打补丁，就可以消除掉这一漏洞，这是相关互联网企业目前最便捷的做法。”

但不管怎样，这一漏洞被发现后，亚马逊、雅虎等多个全球著名互联网企业和密码管理公司Last Pass等都纷纷表示在给Open SSL软件打上最新发布的补丁。□本报记者 庄郑悦