“心脏出血”漏洞曝光 增全球黑客威胁

还是那片枫叶

    新华社旧金山４月１１日电综述：“心脏出血”漏洞曝光 增全球黑客威胁

    新华社记者马丹

    互联网安全协议ＯｐｅｎＳＳＬ一个被称作“心脏出血”的漏洞曝光后，在全球互联网行业引发安全担忧。这组加密工具被大量网络服务器所采用，相关漏洞很容易被黑客利用来盗取敏感的个人和行业信息。

    这一影响广泛的漏洞是在本周早些时候遭意外曝光的。事实上这个漏洞早在２０１１年１２月已被一些核心开发者发现，并在最新公布的版本中进行了修复，但由于许多网站还在使用旧版本的ＯｐｅｎＳＳＬ，这一“陈年”漏洞仍然会影响大量网站。

    网络安全专家估计，全球三分之二的网站都会受这一漏洞的影响。

    ＯｐｅｎＳＳＬ是一组开源的网络加密工具，由于开发其他这样的工具非常耗时，因此全球大部分的网络服务供应商都使用这组工具来加密敏感数据。而“心脏出血”漏洞的曝光影响重大，黑客可利用这个漏洞监视用户与某个网站间的所有信息流，并对其中加密数据进行解密操作，从而盗取信用卡密码等敏感信息。

    这次漏洞曝光让众多主流网站的安全性遭到质疑。雅虎作为全美最大的入口网站就被推到封口浪尖上。

    雅虎的发言人表示，该网站已对相关问题采取措施，填补了可能的漏洞。部分研究人员此前称，他们能从这家网站获取用户账户名和密码等信息。相关的安全测试则显示谷歌、亚马逊、“电子港湾”等网站还没有出现严重的安全问题。

    截至目前，还未出现黑客利用这一安全漏洞发动大范围攻击的报告。

    包括谷歌、雅虎、脸谱等网络服务提供商目前已完成或正在进行安全协议版本升级和修补工作。微软也表示，正密切观察有关“心脏出血”的情况，必要时将立即展开修补工作。

    除了网站，“心脏出血”还对路由器、智能手机等网络设备构成威胁。知名网络设备制造商思科说，其主要产品未受“心脏出血”影响，受影响的是个别产品，其中包括思科的几款网络电话机等。相关厂商已承诺将为这些设备提供补丁。

    谷歌的官方博客说，各种版本的安卓移动操作系统都不受“心脏出血”影响，但４．１．１版是个“有限例外”。这一版本发布于２０１２年。谷歌最新统计显示，３４％的安卓设备运行不同形态的安卓４．１系统，而目前全球处于激活状态的安卓设备超过９亿台。

    芯片制造商英特尔和高通等也在对其产品进行检查，目前还未发现安全隐患。

    在更为敏感的银行业，这一漏洞已引起监管机构的注意。美国联邦储备委员会等金融监管机构１０日向美国的银行发出警告，建议他们针对“心脏出血”漏洞更新自身系统，并敦促第三方服务提供商采取相关行动，要求用户和管理人员修改密码。

    这一漏洞的曝光，还让监听丑闻缠身的美国国家安全局再次置身舆论漩涡中。

    彭博新闻社１１日报道说，这一机构至少两年前就知道这一安全漏洞的存在，却秘而不宣，以便利用它收集网络情报。

    国家安全局随后发表声明否认相关报道并表示，如果美国政府机构发现商业软件或开源软件出现新漏洞，符合国家利益的做法是负责任地予以披露，而不是留作调查或收集情报之用。

    事实上，对许多业内人士来说，ＯｐｅｎＳＳＬ存在漏洞并不是令人意外的事情。据华尔街日报报道，这个创立于上世纪９０年代后期的项目，至今只有一个十来人的团队，其中只有一名是全职开发者，每年的预算不到１００万美元。目前，这个项目的资金来源仍主要是一些机构和个人的赞助，在资金有限的情况下，人手不足的问题短期内似乎也难以解决。

    尽管存在安全隐患，但网络安全专家说，银行、电商等重要网站会在近期内完成服务器安装补丁和修改密钥的工作，用户可以在此之后安全地登录这些网站并修改密码，以保护自身信息安全。（完）