本月初，全球各大主流媒體陸續(xù)曝出了關(guān)于互聯(lián)網(wǎng)有史以來最大的安全漏洞——“心臟流血”(Heartbleed直譯)，一時(shí)間，各大主流網(wǎng)絡(luò)公司的系統(tǒng)管理員們紛紛開始為自己的系統(tǒng)打補(bǔ)丁。這一安全漏洞很可能會(huì)被黑客們所利用，從而破解加密信息，竊取到用戶的個(gè)人數(shù)據(jù)。

[[111705]]

但是對(duì)于很多非主流的小型網(wǎng)絡(luò)公司而言，面對(duì)“心臟流血”，他們可能并不會(huì)采取任何應(yīng)對(duì)措施或者消極應(yīng)對(duì)。換句話說，“心臟流血”將會(huì)持續(xù)威脅互聯(lián)網(wǎng)安全很多年，它的余毒或許將會(huì)永遠(yuǎn)殘留下去。

“Heartbleed”漏洞是由谷歌和一家在線安全公司Codenomicon的研究人員發(fā)現(xiàn)，它是OpenSLL開源網(wǎng)絡(luò)數(shù)據(jù)加密工具中包含的大約10行簡(jiǎn)單的代碼，它將會(huì)影響到OpenSSL這一關(guān)鍵網(wǎng)絡(luò)加密技術(shù)。實(shí)際上，這個(gè)安全漏洞已經(jīng)存在兩年多了，而且沒有留下任何可疑的跡象，黑客們利用它輕易獲取用戶的加密信息。

具體來講，如果某個(gè)網(wǎng)站采用的是OpenSLL加密技術(shù)，黑客便可以利用“Heartbleed”運(yùn)行這個(gè)軟件的服務(wù)器來獲取敏感信息。而且，黑客不僅可以從網(wǎng)站上竊取用戶的個(gè)人信息，而且還可以偽造出該相應(yīng)的冒牌網(wǎng)站，從而從一個(gè)服務(wù)器上“釣”取用戶的用戶名、密碼、信用卡詳細(xì)資料等大量信息。

更糟的是，當(dāng)黑客利用“Heartbleed”安全漏洞進(jìn)行攻擊時(shí)，這種不法行為是很難被察覺的。換句話說，目前還沒有一種有效的方法可以判斷出某網(wǎng)站是否已經(jīng)被“Heartbleed”入侵。這也是為什么各大網(wǎng)站會(huì)盡快升級(jí)他們的OpenSSL版本，防患于未然。

盡管如此，由于目前有超過三分之二的網(wǎng)站采用OpenSSL加密協(xié)議，這些具有潛在風(fēng)險(xiǎn)的網(wǎng)站中有很多都是小型網(wǎng)站，它們沒有能力保證第一時(shí)間修復(fù)漏洞，有些甚至?xí)x擇睜一只眼閉一只眼。

在線隱私保護(hù)公司Abine的首席技術(shù)官安德魯·薩德伯里(Andrew Sudbury)對(duì)此表示：“全球各個(gè)角落的機(jī)房里放著不計(jì)其數(shù)的服務(wù)器，很難保證每一臺(tái)都會(huì)打上預(yù)防Heartbleed安全漏洞的補(bǔ)丁”。

給存在安全隱患的網(wǎng)站“打預(yù)防針”并不難——系統(tǒng)管理員只需要升級(jí)相應(yīng)的軟件包，重啟系統(tǒng)，然后更換OpenSSL的密鑰和安全證書。“這并不是很復(fù)雜，只是需要花點(diǎn)時(shí)間而已”，安德魯如是說。

上世紀(jì)90年代，黑客們?cè)靡环N所謂的“PHF exploit”漏洞來攻擊網(wǎng)絡(luò)服務(wù)器。但是當(dāng)這個(gè)漏洞被發(fā)現(xiàn)并修復(fù)之后，每年通過該漏洞進(jìn)行攻擊的事件還是層出不窮。

此外，安德魯還表示，歷史經(jīng)驗(yàn)告訴我們，近年來一些主要的網(wǎng)絡(luò)安全漏洞被發(fā)現(xiàn)并修復(fù)之后，黑客們依然會(huì)持續(xù)不斷的利用這些漏洞進(jìn)行網(wǎng)絡(luò)攻擊。“Heartbleed”也不會(huì)例外，黑客們往往無孔不入。

即便是用戶在某一個(gè)網(wǎng)站上信息被盜，而且這個(gè)網(wǎng)站并不包含信用卡、用戶名信息等敏感信息，但是這一單個(gè)的薄弱環(huán)節(jié)也容易引起嚴(yán)重的破壞，特別是那些喜歡用同一個(gè)密碼進(jìn)行各種網(wǎng)絡(luò)操作的用戶而言更是如此。

諷刺的是，一些對(duì)“Heartbleed”安全漏洞并不是很在意的網(wǎng)站實(shí)際上并沒有受到攻擊，而“Heartbleed”早在2012年3月份就出現(xiàn)了。

雖說“Heartbleed”的攻擊模式很難被察覺，但是這并不意味著用戶就只能坐以待斃。用戶可以通過某些工具檢測(cè)自己的網(wǎng)站是否需要升級(jí)OpenSSL版本，而且有些像Chrome以及火狐等第三方瀏覽器提供的擴(kuò)展功能還可以進(jìn)行隨機(jī)自檢，以避免被攻擊。

此外，用戶還可以通過為自己的服務(wù)器設(shè)置雙加密密鑰的方式來避免被攻擊，而且盡可能的更新所有密碼設(shè)置，且不要重復(fù)使用。

盡管如此，就算等到這個(gè)漏洞徹底消除，我們也沒辦法知道在此之前已經(jīng)丟失了多少信息。我們將在未來許多年里都能感受到Heartbleed的余威。(拉里 編譯)