當安全協議不安全了

談資

作者：信海光

加拿大官員4月16日表示，經過5天的調查審訊，已經抓獲首名“心髒出血”攻擊者。這名19歲的英國黑客對國稅部門利用“心髒出血”漏洞發起攻擊，並成功竊取900位公民隱私數據。

所謂“心髒出血”，是4月8日網絡安全協議OpenSSL被曝出的一個嚴重安全漏洞，在互聯網上引發劇烈反響，不少媒體用“地震級網絡災難”“年度最嚴重安全漏洞”等震撼說法加以形容，但在業外，大多數普通網民卻是抱著一種“不明覺厲”的旁觀心態，沒有像上次攜程“信用卡”門那樣反應激烈，還情人質疑是否在誇大其詞或存在商業陰謀。

首名黑客的被抓獲則表明，因“心髒出血”漏洞引發的網絡安全風險確確實實是存在的。就其危害性，可以明確地說，這次“心髒出血”與攜程事件不可同日而語，這是一個全球性的網絡安全事件，從其代號“心髒出血”（Heartbleed）即可看出。漏洞大概是這樣的：SSL（安全套接層）協議是使用最為普遍的網站加密技術，而OpenSSL則是開源的SSL套件，為全球成千上萬的Web服務器所使用。Web服務器正是通過它來將密鑰發送給訪客然後在雙方的連接之間對信息進行加密。URL中使用https打頭的連接都采用了SSL加密技術。OpenSSL是目前互聯網上應用最廣泛的安全傳輸方法（基於SSL即安全套接層協議），很多電商、支付類接口、社交、門戶網站都在應用此協議。以防止竊密及避免中間人攻擊。

Heartbleed漏洞之所以得名，是因為用於安全傳輸層協議（TLS）及數據包傳輸層安全協議（DTLS）的Heartbeat擴展存在漏洞。攻擊者可以利用漏洞披露連接的客戶端或服務器的存儲器內容，導致攻擊者不僅可以讀取其中機密的加密數據，還能盜走用於加密的密鑰。這個漏洞在長達兩年的時間內沒有被發現。直到最近。

“心髒出血”漏洞的危害很明顯。它可以使不法之徒借漏洞盜取網民在特定網站的各種密碼。包括網銀。漏洞曝出後。產生兩種後果，一是大量網站聞知立刻采取緊急修複措施；二是黑客也知道了這一消息，與網站賽跑趁機竊取信息。所謂道高一尺魔高一丈，不管網站修複得多迅速，但企業反應總是有個過程，在此過程中，很可能已經有信息失竊，更何況，還有大量安全意識差的網站沒有第一時間修複漏洞。還有一個都在擔心。卻無法在短期內證實的隱憂：長達兩年的時間裏，這個漏洞一直存在，會否有黑客早已悄悄地發現了這個漏洞，並已經采取了盜秘行動呢？

以上這幾種後果。無論哪一種屬實，都會在未來給網民造成嚴重損失，第一個黑客已經被抓獲，會不會還有第二個。第二十個？從這個角度說，對“心髒出血”保持高度警惕絕非杞人憂天。

這次“心髒出血”事件有可能會產生地震級的網絡災難，也有可能因為補救及時而幸運地平滑而過，但隨著人們把越來越多的信息與財富放在網上。而防範意識又無法真正提高，早晚都難免會發生一起災難性的網絡安全大事件。這不是預言，這是宿命。