“心臟出血”來襲 普通的我們能做些啥

     4月14日 最近“心臟出血”這個名詞沖上了諸多媒體的頭條，中央電視臺的新聞1+1節目專門做了一期關于“心臟出血”的詳細報道，一時間在網民之間引發恐慌。雖然絕大多數的人對“心臟出血”的技術原理并不清楚，更多來源是來自于煤體的介紹，恐慌的根因是因為自己所有隱私包括登陸網站的用戶名/密碼，網上銀行帳戶/密碼等可能都將變得不安全?！靶呐K出血”的原名叫“Heartbleed bug”，也有人叫“擊穿心臟”，是來自OpenSSL的緊急安全漏洞警告。采用這樣的名字也是為了說明這個漏洞的嚴重性，因為“心臟出血”已經被認為是互聯網歷史上最為嚴重的網絡安全漏洞。OpenSSL是一個強大的安全套接自層密碼庫，是一種開源軟件包，囊括了主要的密碼算法、常用的密碼和證書封裝管理功能以及SSL協議，是一種網絡加密安全協議，在各大網銀、在線支付、網站、電子郵箱、網絡設備加密等方面有著廣泛使用。這次“心臟出血”是OpenSSL存在的一個軟件BUG，當攻擊者構造一個特殊的數據包，滿足用戶心跳包中無法提供足夠多的數據就會導致Memcpy把 SSLv3記錄之后的數據直接輸出，這樣攻擊者可以遠程讀取服務器內存中長達64K的數據，這個數據獲取到的是隨機的，不一定是隱私信息，所以只有反復獲取才能拿到自己想要的數據。這個軟件BUG在OpenSSL兩年前發布的軟件版本中已經存在了，使用OpenSSL新版本的服務器和網絡設備都存在這個問題。

     在4月9日“心臟出血”爆出以來，各大網站、電商、銀行就開始對涉及BUG的服務器進行修復，而廣大的網民除了擔心還是擔心，束手無策。其實，“心臟出血”的確問題嚴重，但也不至于如此，更多的還是來自安全廠商和媒體的過度宣揚，安全廠商這樣做無非是人為制造恐慌氣氛，達到推廣安全產品的目的，這是一次推廣自己產品的好機會，而媒體更是通過大肆報道主要目的是為了吸引眼球，這樣人為制造緊張氣氛，增加受關注的程度。實際上，幾乎天天都會出現一些系統安全漏洞，在網絡運營企業基本都形成了發現漏洞、系統升級、補丁修補等一系列完整的流程，經常要進行漏洞的修補。當發現漏洞時第一時間進行修復，消除影響。“心臟出血”只是影響面更廣一些，涉及到銀行帳戶、密碼等敏感數據的泄露。但也不是知道這個漏洞就一定有能力來獲取到數據，這要求利用漏洞的人要具備較深的技術水平才能從泄露的數據中獲取到隱私數據。OpenSSL的漏洞已經存在了兩年，直到今天才被公布，從這兩年的時間看并沒有大量數據的異常泄露，顯然并沒有人提前發現這個漏洞，或者就算知道并沒有利用這個漏洞去獲取隱私數據和破壞數據。當OpenSSL公布漏洞后，各大網站、銀行都在積極修復，所以應該不會對普通網民造成什么影響，不必過分擔憂。

     那么作為普通網民我們還能做什么呢，難道只能碰運氣，坐等？當然不是，只有我們主動的訪問了這些存在漏洞網站、設備，才會將隱私登陸信息臨時存放到服務器的緩存中，在網站修復之前信息泄露隨時都存在。服務器如果曾經發生做過重起，或者業務變更，這些保存在內存中的臨時數據也會消失。所以首先要回憶一下最新是否使用過這些網站使用過交易，時間越久則風險就越低。如果頻繁使用網上支付，建議直接到銀行營業廳將網銀密碼修改，帳戶轉移，檢查帳戶資金是否安全，密切關注自己經常訪問的網站的公告。

     要養成良好的上網習慣，不了解的網站不進行訪問。不隨意點擊網站彈出的各種廣告，不隨便安裝各種惡意軟件。在“心臟出血”爆出后，很多正規大型的門戶網站都會及時更新軟件，消除漏洞。但是對于一些小型網站，由于其自身技術能力有限，無法及時更新軟件，導致長時間修復，此時訪問這些網站就容易將自己的隱私信息暴露給別人。

     在http://filippo.io/Heartbleed/網站可以對各個網站是否存在“心臟出血”漏洞進行測試，驗證自己訪問過的網站，這里指使用自己注冊帳戶登陸的網站，如果顯示為紅色就說明存在風險，暫時不要進行任何的訪問。同時要關注這些網站發布的安全漏洞消息，還可以直接致電網站支持人員，以確保自己的帳戶信息安全。

要及時修改訪問密碼，對密碼進行重新設定，根據行業默認的標準，對于任何的帳戶密碼應該每6個月更換一次，而且禁止是否簡單的數字來設定密碼，這樣將大大降低帳戶被攻破的可能性。

     由于網上銀行交易都強制要求客戶安裝U盾，這是使用商業級的SSL加密設備，而不是OpenSSL 這種開源軟件，所以不存在這類問題，所以使用銀行卡進行網上支付的大可放心。還有很多實力比較強的網站也采用商業的加密技術，比如支付寶，所以也不存在這類問題，聽到這樣的消息是不是心里稍許可以平靜些了。不過一些網站上注冊的個人信息就可能存在泄露的風險，這個“心臟出血”暴出后，“黑客”和“白帽”你盜我堵都在的瘋狂賽跑，廣大網民的信息能否保得住就看這些“白帽”的了，這個普通網民只能做觀龍虎斗，干著急出不上力氣了。

     自古以來，邪不勝正，相信這是第一次互聯網行業面臨的全面危機，本來網絡安全就飽受質疑，此次危機能否處理得好，將關系著互聯網的未來。在這場危機面前我們普通的網民既是無辜的受害者又是弱視群體，希望這些互聯網的企業能夠及時修復漏洞，不要在網民的傷口上撒鹽。