全球網路爆發核彈級密碼漏洞，危機網站清單大公開

震驚全球網際網路的「核彈級漏洞」—— Heartbleed bug，就在昨天晚上（4 月 8 日）爆發。

整個下午，全球網路公司都處於緊急狀態中，拼了命的試圖修補各個服務上的巨大漏洞。究竟 Heartbleed bug 是什麼，令人如此聞之色變？

你得先搞清楚 OpenSSL 是什麼？

SSL 可能是大家接觸比較多的安全協議之一，看到某個網站用了 https:// 開頭，就是採用了 SSL 安全協議。而 OpenSSL，則是為網絡通信提供安全及數據完整性的一種安全協議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及 SSL 協議，並提供了豐富的應用程序供測試或其它目的使用。OpenSSL 是一種開放源碼的 SSL 實現，用來實現網絡通信的高強度加密，現在被廣泛地用於各種網絡應用程序中。

換句話說，OpenSSL 其實就是互聯網上銷量最大的鎖。而昨天，這把鎖出現了問題。OpenSSL 曝出重大安全漏洞——Heartbleed Bug 。Google 和網絡安全公司 Codenomicon 的研究人員發現，OpenSSL Heartbleed 模塊存在一個 BUG。

Heartbleed bug 會怎樣？

簡單的說，駭客可以對使用 https（存在此漏洞）的網站發起攻擊，每次讀取服務器內存中 64K 數據，不斷的反覆獲取，內存中可能會含有用戶 http 原始請求、用戶 Cookie 甚至明文帳號密碼等。大家經常到訪的支付寶、微信、淘寶等網站也存在這個漏洞。而更有網友測試了世界最流行的 1000 家網站，結果 30%～40% 的都有問題。

除此之外，這個漏洞受到這麼多人重視還有別的原因：

1. 這個漏洞已長時間存在，只是在昨天才被曝出。所以很難估計到底有多少網站，多少用戶的資料被竊取。
2. 這個漏洞很容易被駭客利用。
3. 不留痕跡。這可能是最關鍵的問題，網站無法知道是誰竊取了用戶信息，很難追究法律責任。

這一漏洞的官方名稱為 CVE-2014-0160。該漏洞影響了 OpenSSL 1.0.1 版至 1.0.1f 版。而 1.0.1 之前更老的版本並沒有受到影響。OpenSSL 已經發布了 1.0.1g 版本，以修復這一問題，但網站對這一軟件的升級還需要一段時間。不過，如果網站配置了一項名為「perfect forward secrecy」的功能，那麼這一漏洞的影響將被大幅減小。該功能會改變安全密鑰，因此即使某一特定密鑰被獲得，攻擊者也無法解密以往和未來的加密數據。

如何應對該漏洞？

企業防禦建議：升級到最新版本 OpenSSL 1.0.1g。無法立即升級的用戶可以以 -DOPENSSL_NO_HEARTBEATS 開關重新編譯 OpenSSL。而 1.0.2-beta 版本的漏洞將在 beta2 版本修復。當然，升級後別忘記提醒用戶更改密碼、提醒雲服務使用者更新 SSL 密鑰重複證書。

個人用戶防禦建議：各個網站修復這個漏洞都可能需要 1 ～ 3 天的時間，有些反應較為迅速的網站如淘寶，微信等可能修復的更快。只要等有漏洞的網站修復完成就能登陸了。以下是可能熱門網站是否受到 Heartbleed bug 影響的整理，建議可以儘快更換密碼以確保重要資料安全。除此之外，密切關注未來數日內的財務報告。因為攻擊者可以獲取服務器內存中的信用卡信息，所以要關注銀行報告中的陌生扣款。