4月8日是黑客和白帽們的不眠之夜。他們有的在狂歡，逐個進(jìn)入戒備森嚴(yán)的網(wǎng)站，耐心地收集泄漏數(shù)據(jù)，拼湊出用戶的明文密碼；有的在艱苦升級系統(tǒng)，統(tǒng)計漏洞信息，還要準(zhǔn)備說服客戶的說辭，讓他們意識到問題的嚴(yán)重性；當(dāng)然還有淼叔這樣看熱鬧不嫌事大的，拼命惡補(bǔ)安全常識、尋找專家采訪，試圖記錄這歷史性的一夜。

這一夜，互聯(lián)網(wǎng)門戶洞開。

基礎(chǔ)安全協(xié)議“心臟出血”

北京知道創(chuàng)宇公司的余弦守在電腦屏幕前徹夜未眠。作為一家高速發(fā)展的安全企業(yè)研究部總監(jiān)，余弦在國內(nèi)黑客圈資歷頗深。他向淼叔介紹了這次事件的起源。該漏洞是由安全公司Codenomicon和谷歌安全工程師發(fā)現(xiàn)的，并提交給相關(guān)管理機(jī)構(gòu)，隨后官方很快發(fā)布了漏洞的修復(fù)方案。4月7號，程序員Sean Cassidy則在自己的博客上詳細(xì)描述了這個漏洞的機(jī)制。

他披露，OpenSSL的源代碼中存在一個漏洞，可以讓攻擊者獲得服務(wù)器上64K內(nèi)存中的數(shù)據(jù)內(nèi)容。這部分?jǐn)?shù)據(jù)中，可能存有安全證書、用戶名與密碼、聊天工具的消息、電子郵件以及重要的商業(yè)文檔等數(shù)據(jù)。

OpenSSL是目前互聯(lián)網(wǎng)上應(yīng)用最廣泛的安全傳輸方法（基于SSL即安全套接層協(xié)議）�？梢越�似地說，它是互聯(lián)網(wǎng)上銷量最大的門鎖。而Sean爆出的這個漏洞，則讓特定版本的OpenSSL成為無需鑰匙即可開啟的廢鎖；入侵者每次可以翻檢戶主的64K信息，只要有足夠的耐心和時間，他可以翻檢足夠多的數(shù)據(jù)，拼湊出戶主的銀行密碼、私信等敏感數(shù)據(jù)；假如戶主不幸是一個開商店的或開銀行的，那么在他這里買東西、存錢的用戶，其個人最敏感的數(shù)據(jù)也可能被入侵者獲取。

一位安全行業(yè)人士在知乎上透露，他在某著名電商網(wǎng)站上用這個漏洞嘗試讀取數(shù)據(jù)，在讀取200次后，獲得了40多個用戶名、7個密碼，用這些密碼，他成功地登錄了該網(wǎng)站。

發(fā)現(xiàn)者們給這個漏洞起了個形象的名字：heartbleed，心臟出血。這一夜，互聯(lián)網(wǎng)的安全核心，開始滴血。

中國有至少三萬臺機(jī)器“帶病”

一些安全研究者認(rèn)為，這個漏洞影響可能沒有那么大，因為受漏洞影響的OpenSSL 1.01系列版本，在互聯(lián)網(wǎng)上部署并不廣泛。

國內(nèi)老資格的安全工作者、安天實(shí)驗室首席架構(gòu)師江�？筒徽J(rèn)同這種說法。他在微博上預(yù)警：“這一次，狼真的來了”。

余弦則以對問題進(jìn)行了精確的定量分析。4月8日的不眠之夜中，他除了在Twitter和各大論壇中實(shí)時跟蹤事態(tài)的最新進(jìn)展，更重要的精力放在了ZoomEye系統(tǒng)的掃描上。根據(jù)該系統(tǒng)掃描，中國全境有1601250臺機(jī)器使用443端口，其中有33303個受本次OpenSSL漏洞影響！443端口僅僅是OpenSSL的一個常用端口，用以進(jìn)行加密網(wǎng)頁訪問；其他還有郵件、即時通訊等服務(wù)所使用的端口，因時間關(guān)系，尚未來得及掃描。

ZoomEye是一套安全分析系統(tǒng)，其工作原理類似Google，會持續(xù)抓取全球互聯(lián)網(wǎng)中的各種服務(wù)器，并記錄服務(wù)器的硬件配置、軟件環(huán)境等各類指標(biāo)，生成指紋，定期對比，以此確定該服務(wù)器是否存在漏洞或被入侵。在此次“心臟出血”漏洞檢測中，余弦給該系統(tǒng)后面加上一個“體檢”系統(tǒng)，過濾出使用問題OPenSSL的服務(wù)器，即可得出存在安全隱患的服務(wù)器規(guī)模。

從該系統(tǒng)“體檢”結(jié)果看，比三萬臺問題服務(wù)器更令人驚心的，是這些服務(wù)器的分布：它們有的在銀行網(wǎng)銀系統(tǒng)中，有的被部署在第三方支付里，有的在大型電商網(wǎng)站，還有的在郵箱、即時通訊系統(tǒng)中。

自這個漏洞被爆出后，全球的駭客與安全專家們展開了競賽。前者在不停地試探各類服務(wù)器，試圖從漏洞中抓取到盡量多的用戶敏感數(shù)據(jù)；后者則在爭分奪秒地升級系統(tǒng)、彌補(bǔ)漏洞，實(shí)在來不及實(shí)施的則暫時關(guān)閉某些服務(wù)。。余弦說，這是目前最危險的地方：駭客們已經(jīng)紛紛出動，一些公司的負(fù)責(zé)人卻還在睡覺。而如果駭客入侵了服務(wù)器，受損的遠(yuǎn)不止公司一個個體，還包括存放于公司數(shù)據(jù)庫的大量用戶敏感資料。更為麻煩的是，這個漏洞實(shí)際上出現(xiàn)于2012年，至今兩年多，誰也不知道是否已經(jīng) 有駭客利用漏洞獲取了用戶資料；而且由于該漏洞即使被入侵也不會在服務(wù)器日志中留下痕跡，所以目前還沒有辦法確認(rèn)哪些服務(wù)器被入侵，也就沒法定位損失、確認(rèn)泄漏信息，從而通知用戶進(jìn)行補(bǔ)救。

問題的應(yīng)對與新的問題

目前，ZoomEye仍在持續(xù)不斷地給全球服務(wù)器”體檢“，這個過程需要20小時左右。相比之下，僅僅給國內(nèi)服務(wù)器體檢需要的時間短得多，僅僅需要22分鐘；而給那三萬多臺”帶病“服務(wù)器重復(fù)體檢，則只需兩分鐘。目前，余弦已經(jīng)將這份名單提交給CNCERT/CC（國家互聯(lián)網(wǎng)應(yīng)急中心），由后者進(jìn)行全國預(yù)警。但是，除了移動、聯(lián)通等這些大型企業(yè)外，CNCERT也沒有強(qiáng)制力確保其他公司看到預(yù)警內(nèi)容，最后可能還是需要媒體持續(xù)曝光一些“帶病”服務(wù)器，以此倒逼相關(guān)公司重視該漏洞。(責(zé)任編輯：韓杰)