時(shí)間將會(huì)驗(yàn)證“心臟出血”漏洞后患

昨晚跟一位前黑客聊，對(duì)方稱黑客從獲得信息到實(shí)施盜竊一般都有個(gè)間隔時(shí)間，心臟出血的后果不會(huì)一時(shí)間顯現(xiàn)出來，但隱患很大。

４月８日，網(wǎng)絡(luò)安全協(xié)議ＯｐｅｎＳＳＬ被曝發(fā)現(xiàn)嚴(yán)重安全漏洞，在業(yè)內(nèi)引發(fā)劇烈反響，不少媒體用“心臟出血”、“地震級(jí)網(wǎng)絡(luò)災(zāi)難”、“年度最嚴(yán)重安全漏洞”等震撼說法加以形容，但在業(yè)外，大多數(shù)普通網(wǎng)民卻是抱著一種“不明覺厲”的旁觀心態(tài)，沒有像上次攜程“信用卡”門那樣反應(yīng)激烈，還有人還質(zhì)疑是否在夸大其詞或存在商業(yè)陰謀。

這是可以理解的，因?yàn)閷?duì)普通人來說，攜程漏洞事件“危害場(chǎng)景”很直白，就是用戶在特定時(shí)間內(nèi)登錄攜程支付時(shí)有可能被黑客竊取到信用卡密碼。但這次“心臟出血”事件聽起來卻離網(wǎng)民有點(diǎn)遠(yuǎn)，人們一時(shí)半會(huì)兒無法準(zhǔn)確評(píng)估自己會(huì)否被牽扯進(jìn)去。

就其危害性，可以明確的說，這次“心臟出血”與攜程事件不可同日而語，這是一個(gè)全球性的網(wǎng)絡(luò)安全事件，從其代號(hào)“心臟流血”（Heartbleed）即可看出。漏洞大概是這樣的：OpenSSL是目前互聯(lián)網(wǎng)上應(yīng)用最廣泛的安全傳輸方法（基于SSL即安全套接層協(xié)議），很多電商、支付類接口、社交、門戶網(wǎng)站都在應(yīng)用此協(xié)議，但在某一個(gè)版本的設(shè)計(jì)和迭代時(shí)，因程序員的疏忽導(dǎo)致遺留下一個(gè)安全漏洞，而且，這個(gè)漏洞在長達(dá)兩年的時(shí)間內(nèi)沒有被發(fā)現(xiàn)，直到最近。

“心臟流血”漏洞的危害很明顯，它可以使不法之徒借漏洞盜取網(wǎng)民在特定網(wǎng)站的各種密碼，包括網(wǎng)銀。漏洞爆出后，產(chǎn)生兩種后果，一是大量網(wǎng)站聞知立刻采取緊急修復(fù)措施；二是黑客也知道了這一消息，與網(wǎng)站賽跑趁機(jī)竊取信息。所謂道高一尺魔高一丈，不管網(wǎng)站修復(fù)的多迅速，但企業(yè)反映總是有個(gè)過程，在此過程中，很可能已經(jīng)有信息失竊，更何況，還有大量安全意識(shí)差的網(wǎng)站沒有第一時(shí)間修復(fù)漏洞。

還有一個(gè)都在擔(dān)心，卻無法在短期內(nèi)證實(shí)的隱憂：長達(dá)兩年的時(shí)間里，這個(gè)漏洞一直存在，會(huì)否有黑客早已悄悄的發(fā)現(xiàn)了這個(gè)漏洞，并已經(jīng)采取了盜秘行動(dòng)呢？

以上這幾種后果，無論哪一種屬實(shí)，都會(huì)在未來給網(wǎng)民造成嚴(yán)重?fù)p失，可能發(fā)生在明天，也可能發(fā)生在下個(gè)月，乃至明年，從這個(gè)角度說，對(duì)“心臟出血”保持高度警惕絕非杞人憂天。

網(wǎng)民的旁觀與無動(dòng)于衷，其實(shí)正反映出當(dāng)下真實(shí)的網(wǎng)絡(luò)安全意識(shí)現(xiàn)狀?；ヂ?lián)網(wǎng)飛速發(fā)展十幾年，但從全球范圍講，危害大到足夠震撼全社會(huì)的網(wǎng)絡(luò)安全事件還一件都沒有。安全是需要用戶付出額外代價(jià)的，比如更換密碼、記住密碼就很麻煩，沒有經(jīng)受過切膚之痛，人們很難真正對(duì)網(wǎng)絡(luò)安全重視起來。

這次“心臟出血”事件有可能會(huì)產(chǎn)生地震級(jí)的網(wǎng)絡(luò)災(zāi)難，也有可能因?yàn)檠a(bǔ)救及時(shí)而幸運(yùn)地平滑而過，但隨著人們把越來越多的信息與財(cái)富放在網(wǎng)上，而防范意識(shí)又無法真正提高，早晚都難免會(huì)發(fā)生一起災(zāi)難性的網(wǎng)絡(luò)安全大事件，這不是預(yù)言，這是宿命。

做好網(wǎng)絡(luò)安全，網(wǎng)站有重要責(zé)任，但單靠網(wǎng)站單方面的升級(jí)與打補(bǔ)丁無濟(jì)于事，網(wǎng)絡(luò)安全更是每個(gè)人自己的事情，關(guān)注安全信息，定期安全密碼，增加安全驗(yàn)證等等，這看起來很麻煩，但與互聯(lián)網(wǎng)所帶來便利相比，其實(shí)不算什么，就當(dāng)做為享受互聯(lián)網(wǎng)而支付的對(duì)價(jià)吧。

生成海報(bào)

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評(píng)論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個(gè)人觀點(diǎn)，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。