【赛迪网讯】4月初，开源的互联网加密工具OpenSSL曝出安全漏洞，由于其应用广泛而被广为关注。时至月末，该漏洞究竟有没有想象中的严重?它又给我们带来哪些启示?

早在4月初，一个信息安全事件就被各大媒体广为报道，这就是被称为“心脏出血”(Heartbleed)的OpenSSL漏洞。就连《华尔街日报》这样的财经媒体，也对其进行了报道并提出防范建议。

为什么一个信息安全事件会引起这么多媒体的关注，它的影响究竟是否有那么严重?该事件给我们带来了哪些警示?在信息技术特别是电子商务普及的今天，一个安全漏洞的杀伤力究竟有多大?

漏洞缘起

事实上，SSL作为互联网上普遍使用的加密协议，被广泛应用在各类网站上，特别是金融、支付、社交网络、邮件登录等需要较高安全级别的互联网应用上。而OpenSSL是开放的、为网络通信提供安全与数据完整性的一种安全协议。只要服从简单的许可协议，任何人或机构都可以免费地获取并且应用于商业、非商业目的。此外，OpenSSL的另一个重要特点是，它完全由世界各地的软件开发志愿者管理着。志愿者通过互联网进行交流、策划和开发OpenSSL工具和相关的文档。

在信息化领域，有相当比例的商业和非商业机构会使用开源的产品来降低成本，OpenSSL也不例外。有人估算，大约有三分之二的网站都在使用OpenSSL的加密工具，而加密工具本身出现安全漏洞，后果不堪设想。

据天融信的技术专家介绍，“心脏出血”漏洞是在OpenSSL v1.0.1到1.0.1f的版本密码算法库中发现了一个非常严重的bug，即在处理TLS心跳扩展中缺失了边界检查，加密流量的密钥暴露导致了用户的名字、密码和访问的内容可以被攻击者获取。众所周知，Apache 是被广泛使用的、开源的网络服务器架构。由于OpenSSL是Apache 网络服务器的默认安全协议，它在大量的Linux、Unix系统中使用，同时，诸多的电子邮件、即时通信系统也采用OpenSSL加密用户数据通信，这就意味着攻击者可以利用该bug获取大量互联网服务器与用户之间的数字证书私钥，从而获取用户账户密码等敏感数据。

“心脏出血”漏洞主要影响的是使用了OpenSSL的网站和邮件服务器系统。如果用户登录存在此漏洞的网站或者系统，都可能被攻击者实时监控并获取用户的账号密码。最典型的攻击场景就是购物网站，利用此漏洞，恶意攻击者可以实时获取到终端访问者在某些https开头网址登录的账号密码，只要用户在登录的同时攻击者也在对相同网址进行监控，用户的账号密码就会有泄露的危险。

天融信的技术专家也认为，鉴于“心脏出血”对服务器安全的严重影响，天融信入侵防御系统已于漏洞爆发当日紧急更新了TopIDP，实现了对Open SSL TLS心跳扩展协议远程信息泄露漏洞的防护。用户只要更新规则库，并在TopIDP设备上勾选即可。

威胁扩展

然而，“心脏出血”漏洞的影响并非只是服务器端这样简单。360网站卫士团队经分析发现，OpenSSL漏洞不仅影响https开头的网址，还影响到间接使用了OpenSSL代码的产品和服务。比如，VPN、邮件系统、FTP工具等产品和服务，甚至其他一些安全设施的源代码都会受到波及。360漏洞研究实验室主任袁仁广表示：“经过OpenSSL源代码分析，我们发现客户端和服务器端对心跳包的处理完全是对等的。”这就意味着，黑客既可以用“客户端打服务器”的方式抓取网站服务器的内存数据，也可以用“服务器打客户端”的方式抓取个人电脑数据。