本报首席记者 詹丽华
“4月8日是黑客和白帽子们的不眠之夜。”有人这样形容。早上还在讨论WIN XP停止服务,到晚上已到处是OpenSSL的漏洞消息。
OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,在各大网银、在线支付、电商网站、门户网站、电子邮件等广泛使用。就是这个被许多企业和服务商用来加密数据的安全协议,爆出了本年度最严重的安全漏洞——黑客可以利用这个漏洞从服务器内存中窃取64KB数据,64KB数据量并不大,但黑客可以重复利用该漏洞,多次窃取数据,并可能因此获得用户的加密密钥,解密敏感数据。
打个比方,OpenSSL是目前互联网上应用最广“门锁”,而这个漏洞让特定版本的OpenSSL成了不设防的保险箱。
惊现安全漏洞
黑客、白帽子们忙了一夜
“(这个消息)我们最初是在海外论坛上看到的,很快传回了国内。”金山首席安全专家李铁军说,4月7日(美国当地时间)有黑客公布了旧版本OpenSSL的安全漏洞,“因为漏洞机制描述得非常详细,很快就在圈内传开了。”
漏洞的发布在一个相当危险的时间点——黑客们已经纷纷出动,而一些公司的负责人却正在睡觉。发现者们给这个漏洞起了个相当形象的名字“heartbleed”,直译为“心脏出血”。这一夜,互联网的安全核心,开始滴血。
黑客、白帽子们、运维主管、安全厂商们,闻着“血”而动:他们有的开始狂欢,逐一进入戒备森严的网站,收集泄露数据;有的开始测试有多少网站受到影响以及推出检测脚本;有的在统计漏洞信息,还要准备说服客户,解释问题的严重性;有的连夜开始紧急预警修复升级系统版本;WooYun漏洞平台上很多白帽子开始对大范围网站进行了测试刷分,场面颇为壮观……而普通网民们却毫不知情。
“很快,甚至有黑客发布了旧版本OpenSSL的‘傻瓜攻击’。”李铁军解释说,这意味着非专业技术人员只要依样画葫芦就能利用漏洞从服务器内窃取数据。
“收到这个漏洞后我们最先测试了支付宝,确认存在此漏洞,发起检测。之后我们又发现雅虎门户主页、微信公众号、微信网页版、YY语言、淘宝、网银、陌陌、社交、门户网站存在此漏洞。”网友Evi1m0在知乎上透露,“在一个社交网站中我获取到了用户登录的帐号以及密码甚至是安全问题与答案。这里的密码使用的明文传输,以至于通过这样的漏洞攻击,我成功地登录了上百个账户,当然我什么都没做,出于测试而已。”
国内知名网站几无幸免
目前支付宝、淘宝已修复漏洞
这个漏洞影响究竟有多大?安全专家们不约而同地推荐参考zoomeye(钟馗之眼)的扫描数据,这是一个网络空间搜索引擎,业界公认的权威。根据zoomeye系统扫描,中国全境至少有33303台服务器受本次OpenSSL漏洞影响。网易、微信、QQ邮箱、陌陌、雅虎、比特币中国、支付宝、知乎、淘宝网、360应用、京东、YY语言……从消费到通讯、社交,国内知名网站几乎无一幸免。而很多用户毫不知情,仍然在访问着老虎嘴中的站点。
幸好,官方很快发布了漏洞的修复方案:因为这是一个旧版本OpenSSL的安全漏洞,开发者把服务器程序升级到OpenSSL1.0.1g可以解决。
“目前腾讯几大产品线已经都升级修复了,而且反复进行了扫描,确保漏洞已经被修复。”腾讯相关负责人表示,在腾讯相关的产品业务如邮箱、财付通、QQ、微信等都已经可以放心使用。
“阿里旗下网站已经都没有问题了。”阿里集团相关负责人也表示,技术部门一得到漏洞消息就连夜进行了版本升级,修复了漏洞。目前支付宝、淘宝、天猫都可以正常使用。