“心臟出血”來(lái)襲 普通的我們能做些啥

     4月14日 最近“心臟出血”這個(gè)名詞沖上了諸多媒體的頭條，中央電視臺(tái)的新聞1+1節(jié)目專門做了一期關(guān)于“心臟出血”的詳細(xì)報(bào)道，一時(shí)間在網(wǎng)民之間引發(fā)恐慌。雖然絕大多數(shù)的人對(duì)“心臟出血”的技術(shù)原理并不清楚，更多來(lái)源是來(lái)自于煤體的介紹，恐慌的根因是因?yàn)樽约核须[私包括登陸網(wǎng)站的用戶名/密碼，網(wǎng)上銀行帳戶/密碼等可能都將變得不安全?！靶呐K出血”的原名叫“Heartbleed bug”，也有人叫“擊穿心臟”，是來(lái)自O(shè)penSSL的緊急安全漏洞警告。采用這樣的名字也是為了說(shuō)明這個(gè)漏洞的嚴(yán)重性，因?yàn)椤靶呐K出血”已經(jīng)被認(rèn)為是互聯(lián)網(wǎng)歷史上最為嚴(yán)重的網(wǎng)絡(luò)安全漏洞。OpenSSL是一個(gè)強(qiáng)大的安全套接自層密碼庫(kù)，是一種開(kāi)源軟件包，囊括了主要的密碼算法、常用的密碼和證書(shū)封裝管理功能以及SSL協(xié)議，是一種網(wǎng)絡(luò)加密安全協(xié)議，在各大網(wǎng)銀、在線支付、網(wǎng)站、電子郵箱、網(wǎng)絡(luò)設(shè)備加密等方面有著廣泛使用。這次“心臟出血”是OpenSSL存在的一個(gè)軟件BUG，當(dāng)攻擊者構(gòu)造一個(gè)特殊的數(shù)據(jù)包，滿足用戶心跳包中無(wú)法提供足夠多的數(shù)據(jù)就會(huì)導(dǎo)致Memcpy把 SSLv3記錄之后的數(shù)據(jù)直接輸出，這樣攻擊者可以遠(yuǎn)程讀取服務(wù)器內(nèi)存中長(zhǎng)達(dá)64K的數(shù)據(jù)，這個(gè)數(shù)據(jù)獲取到的是隨機(jī)的，不一定是隱私信息，所以只有反復(fù)獲取才能拿到自己想要的數(shù)據(jù)。這個(gè)軟件BUG在OpenSSL兩年前發(fā)布的軟件版本中已經(jīng)存在了，使用OpenSSL新版本的服務(wù)器和網(wǎng)絡(luò)設(shè)備都存在這個(gè)問(wèn)題。

     在4月9日“心臟出血”爆出以來(lái)，各大網(wǎng)站、電商、銀行就開(kāi)始對(duì)涉及BUG的服務(wù)器進(jìn)行修復(fù)，而廣大的網(wǎng)民除了擔(dān)心還是擔(dān)心，束手無(wú)策。其實(shí)，“心臟出血”的確問(wèn)題嚴(yán)重，但也不至于如此，更多的還是來(lái)自安全廠商和媒體的過(guò)度宣揚(yáng)，安全廠商這樣做無(wú)非是人為制造恐慌氣氛，達(dá)到推廣安全產(chǎn)品的目的，這是一次推廣自己產(chǎn)品的好機(jī)會(huì)，而媒體更是通過(guò)大肆報(bào)道主要目的是為了吸引眼球，這樣人為制造緊張氣氛，增加受關(guān)注的程度。實(shí)際上，幾乎天天都會(huì)出現(xiàn)一些系統(tǒng)安全漏洞，在網(wǎng)絡(luò)運(yùn)營(yíng)企業(yè)基本都形成了發(fā)現(xiàn)漏洞、系統(tǒng)升級(jí)、補(bǔ)丁修補(bǔ)等一系列完整的流程，經(jīng)常要進(jìn)行漏洞的修補(bǔ)。當(dāng)發(fā)現(xiàn)漏洞時(shí)第一時(shí)間進(jìn)行修復(fù)，消除影響?！靶呐K出血”只是影響面更廣一些，涉及到銀行帳戶、密碼等敏感數(shù)據(jù)的泄露。但也不是知道這個(gè)漏洞就一定有能力來(lái)獲取到數(shù)據(jù)，這要求利用漏洞的人要具備較深的技術(shù)水平才能從泄露的數(shù)據(jù)中獲取到隱私數(shù)據(jù)。OpenSSL的漏洞已經(jīng)存在了兩年，直到今天才被公布，從這兩年的時(shí)間看并沒(méi)有大量數(shù)據(jù)的異常泄露，顯然并沒(méi)有人提前發(fā)現(xiàn)這個(gè)漏洞，或者就算知道并沒(méi)有利用這個(gè)漏洞去獲取隱私數(shù)據(jù)和破壞數(shù)據(jù)。當(dāng)OpenSSL公布漏洞后，各大網(wǎng)站、銀行都在積極修復(fù)，所以應(yīng)該不會(huì)對(duì)普通網(wǎng)民造成什么影響，不必過(guò)分擔(dān)憂。

     那么作為普通網(wǎng)民我們還能做什么呢，難道只能碰運(yùn)氣，坐等？當(dāng)然不是，只有我們主動(dòng)的訪問(wèn)了這些存在漏洞網(wǎng)站、設(shè)備，才會(huì)將隱私登陸信息臨時(shí)存放到服務(wù)器的緩存中，在網(wǎng)站修復(fù)之前信息泄露隨時(shí)都存在。服務(wù)器如果曾經(jīng)發(fā)生做過(guò)重起，或者業(yè)務(wù)變更，這些保存在內(nèi)存中的臨時(shí)數(shù)據(jù)也會(huì)消失。所以首先要回憶一下最新是否使用過(guò)這些網(wǎng)站使用過(guò)交易，時(shí)間越久則風(fēng)險(xiǎn)就越低。如果頻繁使用網(wǎng)上支付，建議直接到銀行營(yíng)業(yè)廳將網(wǎng)銀密碼修改，帳戶轉(zhuǎn)移，檢查帳戶資金是否安全，密切關(guān)注自己經(jīng)常訪問(wèn)的網(wǎng)站的公告。

     要養(yǎng)成良好的上網(wǎng)習(xí)慣，不了解的網(wǎng)站不進(jìn)行訪問(wèn)。不隨意點(diǎn)擊網(wǎng)站彈出的各種廣告，不隨便安裝各種惡意軟件。在“心臟出血”爆出后，很多正規(guī)大型的門戶網(wǎng)站都會(huì)及時(shí)更新軟件，消除漏洞。但是對(duì)于一些小型網(wǎng)站，由于其自身技術(shù)能力有限，無(wú)法及時(shí)更新軟件，導(dǎo)致長(zhǎng)時(shí)間修復(fù)，此時(shí)訪問(wèn)這些網(wǎng)站就容易將自己的隱私信息暴露給別人。

     在http://filippo.io/Heartbleed/網(wǎng)站可以對(duì)各個(gè)網(wǎng)站是否存在“心臟出血”漏洞進(jìn)行測(cè)試，驗(yàn)證自己訪問(wèn)過(guò)的網(wǎng)站，這里指使用自己注冊(cè)帳戶登陸的網(wǎng)站，如果顯示為紅色就說(shuō)明存在風(fēng)險(xiǎn)，暫時(shí)不要進(jìn)行任何的訪問(wèn)。同時(shí)要關(guān)注這些網(wǎng)站發(fā)布的安全漏洞消息，還可以直接致電網(wǎng)站支持人員，以確保自己的帳戶信息安全。

要及時(shí)修改訪問(wèn)密碼，對(duì)密碼進(jìn)行重新設(shè)定，根據(jù)行業(yè)默認(rèn)的標(biāo)準(zhǔn)，對(duì)于任何的帳戶密碼應(yīng)該每6個(gè)月更換一次，而且禁止是否簡(jiǎn)單的數(shù)字來(lái)設(shè)定密碼，這樣將大大降低帳戶被攻破的可能性。

     由于網(wǎng)上銀行交易都強(qiáng)制要求客戶安裝U盾，這是使用商業(yè)級(jí)的SSL加密設(shè)備，而不是OpenSSL 這種開(kāi)源軟件，所以不存在這類問(wèn)題，所以使用銀行卡進(jìn)行網(wǎng)上支付的大可放心。還有很多實(shí)力比較強(qiáng)的網(wǎng)站也采用商業(yè)的加密技術(shù)，比如支付寶，所以也不存在這類問(wèn)題，聽(tīng)到這樣的消息是不是心里稍許可以平靜些了。不過(guò)一些網(wǎng)站上注冊(cè)的個(gè)人信息就可能存在泄露的風(fēng)險(xiǎn)，這個(gè)“心臟出血”暴出后，“黑客”和“白帽”你盜我堵都在的瘋狂賽跑，廣大網(wǎng)民的信息能否保得住就看這些“白帽”的了，這個(gè)普通網(wǎng)民只能做觀龍虎斗，干著急出不上力氣了。

     自古以來(lái)，邪不勝正，相信這是第一次互聯(lián)網(wǎng)行業(yè)面臨的全面危機(jī)，本來(lái)網(wǎng)絡(luò)安全就飽受質(zhì)疑，此次危機(jī)能否處理得好，將關(guān)系著互聯(lián)網(wǎng)的未來(lái)。在這場(chǎng)危機(jī)面前我們普通的網(wǎng)民既是無(wú)辜的受害者又是弱視群體，希望這些互聯(lián)網(wǎng)的企業(yè)能夠及時(shí)修復(fù)漏洞，不要在網(wǎng)民的傷口上撒鹽。