锐观点

现有的法律措施大多是进行事后约束，这并非简单立法即可解决的问题。如果出现诉讼，一般会形成集体诉讼，但在管辖权和赔偿程度上还有许多难题需要解决

本报记者范传贵

本报实习生路臻

打开任意一个“https://”开头的网站，就意味着你打开了一个使用了SSL安全协议的网站。

这一协议被用于提高应用程序之间的数据安全系数，加密数据以隐蔽被传送的数据。而作为该协议的一种实现形式，OpenSSL是应用最广泛的SSL服务软件。

简单地说，OpenSSL为你在网站上输入的各种账号密码加了一把虚拟的“锁”。这把“锁”如今被全球三分之二以上的网站使用。

而就在4月9日，OpenSSL爆出了本年度最严重的安全漏洞。利用该漏洞，黑客坐在自己家里的电脑前，就可以实时获取到所有“https://”开头网址的用户登录账号密码，包括网银、电子邮件等信息。

因影响巨大，该漏洞被曝光者命名为“heartbleed”，意为“心脏出血”。

4月10日，国家互联网应急中心发布通报，称由于OpenSSL应用极为广泛，包括政府、高校网站以及金融证券、电子商务、网上支付、即时聊天、办公系统、邮件系统等诸多服务提供商均受到漏洞影响，直接危及互联网用户财产和个人信息安全。

年度最严重安全漏洞

OpenSSL的历史可以追溯到Eric Young所打造的SSLeay。虽然来自美国约翰霍普金斯大学的Matthew Green曾经将其讥讽为一个“教你自学大数除法”的项目，但在此之前，加密算法曾经由美国政府牢牢控制。

多年的积累加上熟悉的特性使OpenSSL顺利走向普及，而我们如今才刚刚接触到其中不为人知的深层漏洞。

据国家互联网应急中心通报，OpenSSL是一款开放源码的SSL服务软件，用来实现网络通信的加密和认证。该软件囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，并提供了丰富的应用程序供测试或其他目的使用。

国家信息安全漏洞共享平台(CNVD)分析，受到该漏洞影响的产品包括：OpenSSL 1.0.1-1.0.1f版本，其余版本暂不受影响。综合各方测试结果，国内外一些大型互联网企业的相关VPN、邮件服务、即时聊天、网络支付、电子商务、权限认证等服务器受到漏洞影响，此外一些政府和高校网站服务器也受到影响。

CNVD成员单位奇虎360安全专家石晓虹博士表示，OpenSSL此漏洞堪称“网络核弹”，因为有很多隐私信息都存储在网站服务器的内存中，无论用户电脑多么安全，只要网站使用了存在漏洞的OpenSSL版本，用户登录该网站时就可能被黑客实时监控到登录账号和密码。

在CNVD的综合评级中，这一漏洞被评为“高危”。

一些统计数据也可以显示这一漏洞可能造成的巨大影响。奇虎360对国内120万家经过授权的网站扫描，发现其中有11440个网站主机受该漏洞影响。4月7日、4月8日期间，共计约2亿网民访问了存在OpenSSL漏洞的网站。

而由于OpenSSL是Apache和NGINXWeb两大服务器的默认SSL / TLS证书，专家估计，全球多达三分之二的“安全”网站很容易通过这一漏洞受到攻击。

事实上，攻击的苗头已经出现。国家互联网应急中心通报称，目前互联网上已经出现了针对该漏洞的攻击利用代码，预计在近期针对该漏洞的攻击将呈现激增趋势，对网站服务提供商以及用户造成的危害将会进一步扩大。