您現(xiàn)在的位置：融合網(wǎng)首頁(yè) > 工信 > 移動(dòng)互聯(lián)網(wǎng) >

網(wǎng)絡(luò)世界大混亂

來(lái)源：TMT深度觀察　作者：王云輝　責(zé)任編輯：韓杰　發(fā)表時(shí)間:2014-04-09 12:30　

黑客數(shù)據(jù)庫(kù)管理機(jī)構(gòu)中國(guó)移動(dòng)中國(guó)聯(lián)通中國(guó)電信 3G 3D技術(shù)LTE FTTx IPTV 網(wǎng)絡(luò)視頻軟件移動(dòng)互聯(lián)網(wǎng)農(nóng)村互聯(lián)網(wǎng)電子商務(wù)其他

核心提示：不過(guò)，值得注意的是，由于OpenSSL應(yīng)用非常廣泛，所以相對(duì)網(wǎng)站等表面上的應(yīng)用，它在各種客戶端、VPN、WAF等其他領(lǐng)域，也將帶來(lái)更加隱蔽的風(fēng)險(xiǎn)，并將持續(xù)一段時(shí)間。

“有可能導(dǎo)致網(wǎng)絡(luò)大混亂么？”反復(fù)修改了自己的問(wèn)題之后，我點(diǎn)擊了“發(fā)送”。

片刻后，對(duì)話框里跳出一句回復(fù)“現(xiàn)在已經(jīng)亂了。”

之后，是長(zhǎng)久的寂靜。

顯然，網(wǎng)絡(luò)對(duì)面那位頂級(jí)白帽（指以善意方式使用自身技術(shù)的黑客），已經(jīng)顧不上搭理我——在這個(gè)不眠之夜，Ta還有太多的事情要做。

2014年4月8日，必將永載于互聯(lián)網(wǎng)史冊(cè)。

這一天，互聯(lián)網(wǎng)世界發(fā)生了兩件大事：一、微軟正式宣布XP停止服務(wù)退役；第二件，OpenSSL的大漏洞曝光。

很多普通人更關(guān)心第一件事，因?yàn)榕c自己切身相關(guān)。

但事實(shí)上，第二件事，才是真正的大事件。

這個(gè)漏洞影響了多少網(wǎng)站，這個(gè)數(shù)字仍在評(píng)估當(dāng)中，但放眼放去，我們經(jīng)常訪問(wèn)的支付寶、淘寶、微信公眾號(hào)、YY語(yǔ)音、陌陌、雅虎郵件、網(wǎng)銀、門(mén)戶等各種網(wǎng)站，基本上都出了問(wèn)題。

而在國(guó)外，受到波及的網(wǎng)站也數(shù)不勝數(shù)，就連大名鼎鼎的NASA（美國(guó)航空航天局）也已宣布，用戶數(shù)據(jù)庫(kù)遭泄露。

這個(gè)漏洞被曝光的黑客命名為“heartbleed”，意思是“心臟出血”——代表著最致命的內(nèi)傷。

這是一個(gè)極為貼近的表述。

如果用專業(yè)的表述，OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，它通過(guò)一種開(kāi)放源代碼的SSL協(xié)議，實(shí)現(xiàn)網(wǎng)絡(luò)通信的高強(qiáng)度加密。

這也就是說(shuō)，OpenSSL的存在，就是一個(gè)多用途的、跨平臺(tái)的安全工具，由于它非常安全，所以被廣泛地用于各種網(wǎng)絡(luò)應(yīng)用程序中。

但現(xiàn)在，OpenSSL自己出現(xiàn)了漏洞，而且是非常高危脅的漏洞。利用這個(gè)漏洞，黑客可以輕松獲得用戶的cookie，甚至明文的帳號(hào)和密碼。

這就像什么呢？你背靠著城墻與敵人戰(zhàn)斗，突然，墻垮了。

于是，一場(chǎng)瘋狂的競(jìng)速開(kāi)始。

網(wǎng)站們開(kāi)始緊急預(yù)警和修復(fù)升級(jí)，安全公司和白帽們忙著測(cè)試漏洞影響并進(jìn)行擴(kuò)展推衍，而更多的黑客們，則抓緊時(shí)間開(kāi)始狂歡：

懂技術(shù)的人，深入地把玩這個(gè)漏洞，以它為武器，向自己久攻不下的網(wǎng)站發(fā)起攻擊；不懂技術(shù)的小黑客們，也如同大戰(zhàn)場(chǎng)邊緣的游勇，利用漏洞四下劫掠。

這是一個(gè)不眠之夜——除了大批仍茫不知情的網(wǎng)民。

面對(duì)危機(jī)，網(wǎng)站們策略不一，有的緊急升級(jí)OpenSSL；有的暫停了服務(wù)；有的服務(wù)還在，但暫停了SSL加密；當(dāng)然，還有的在睡大覺(jué)……

希望他們?cè)缟掀饋?lái)以后，還能保持自己放松的心情。

事實(shí)上，就漏洞本身來(lái)說(shuō)，現(xiàn)在黑客們爭(zhēng)奪的就是時(shí)間，一旦主要的網(wǎng)站們完成漏洞修復(fù)，這一波地震就能算是過(guò)去，大家自然回歸常態(tài)，該網(wǎng)購(gòu)的網(wǎng)購(gòu)，該玩的玩。

不過(guò)，值得注意的是，由于OpenSSL應(yīng)用非常廣泛，所以相對(duì)網(wǎng)站等表面上的應(yīng)用，它在各種客戶端、VPN、WAF等其他領(lǐng)域，也將帶來(lái)更加隱蔽的風(fēng)險(xiǎn)，并將持續(xù)一段時(shí)間。

而對(duì)整個(gè)互聯(lián)網(wǎng)產(chǎn)業(yè)來(lái)說(shuō)，這個(gè)事件更大的一個(gè)意義，在于讓所有人重新回過(guò)頭來(lái)反思：

當(dāng)我們認(rèn)為安全的一切，都突然變得不安全，我們又將如何維持這個(gè)虛擬世界的存續(xù)與穩(wěn)定？

如果，這個(gè)事件能夠改變環(huán)境，讓因?yàn)椴皇苤匾�，缺乏商業(yè)輸血，長(zhǎng)期處于孱弱狀態(tài)的中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)獲得新的生機(jī)，或許，也能算是塞翁失馬，終有所得。

(責(zé)任編輯：韓杰)

“掃一掃”關(guān)注融合網(wǎng)微信號(hào)

免責(zé)聲明：我方僅為合法的第三方企業(yè)注冊(cè)用戶所發(fā)布的內(nèi)容提供存儲(chǔ)空間，融合網(wǎng)不對(duì)其發(fā)布的內(nèi)容提供任何形式的保證：不保證內(nèi)容滿足您的要求，不保證融合網(wǎng)的服務(wù)不會(huì)中斷。因網(wǎng)絡(luò)狀況、通訊線路、第三方網(wǎng)站或管理部門(mén)的要求等任何原因而導(dǎo)致您不能正常使用融合網(wǎng)，融合網(wǎng)不承擔(dān)任何法律責(zé)任。

第三方企業(yè)注冊(cè)用戶在融合網(wǎng)發(fā)布的內(nèi)容（包含但不限于融合網(wǎng)目前各產(chǎn)品功能里的內(nèi)容）僅表明其第三方企業(yè)注冊(cè)用戶的立場(chǎng)和觀點(diǎn)，并不代表融合網(wǎng)的立場(chǎng)或觀點(diǎn)。相關(guān)各方及作者發(fā)布此信息的目的在于傳播、分享更多信息，并不代表本網(wǎng)站的觀點(diǎn)和立場(chǎng)，更與本站立場(chǎng)無(wú)關(guān)。相關(guān)各方及作者在我方平臺(tái)上發(fā)表、發(fā)布的所有資料、言論等僅代表其作者個(gè)人觀點(diǎn)，與本網(wǎng)站立場(chǎng)無(wú)關(guān)，不對(duì)您構(gòu)成任何投資、交易等方面的建議。用戶應(yīng)基于自己的獨(dú)立判斷，自行決定并承擔(dān)相應(yīng)風(fēng)險(xiǎn)。

根據(jù)相關(guān)協(xié)議內(nèi)容，第三方企業(yè)注冊(cè)用戶已知悉自身作為內(nèi)容的發(fā)布者，需自行對(duì)所發(fā)表內(nèi)容（如，字體、圖片、文章內(nèi)容等）負(fù)責(zé)，因所發(fā)表內(nèi)容（如，字體、圖片、文章內(nèi)容等）等所引發(fā)的一切糾紛均由該內(nèi)容的發(fā)布者（即，第三方企業(yè)注冊(cè)用戶）承擔(dān)全部法律及連帶責(zé)任。融合網(wǎng)不承擔(dān)任何法律及連帶責(zé)任。

第三方企業(yè)注冊(cè)用戶在融合網(wǎng)相關(guān)欄目上所發(fā)布的涉嫌侵犯他人知識(shí)產(chǎn)權(quán)或其他合法權(quán)益的內(nèi)容（如，字體、圖片、文章內(nèi)容等），經(jīng)相關(guān)版權(quán)方、權(quán)利方等提供初步證據(jù)，融合網(wǎng)有權(quán)先行予以刪除，并保留移交司法機(jī)關(guān)查處的權(quán)利。參照相應(yīng)司法機(jī)關(guān)的查處結(jié)果，融合網(wǎng)對(duì)于第三方企業(yè)用戶所發(fā)布內(nèi)容的處置具有最終決定權(quán)。

個(gè)人或單位如認(rèn)為第三方企業(yè)注冊(cè)用戶在融合網(wǎng)上發(fā)布的內(nèi)容（如，字體、圖片、文章內(nèi)容等）存在侵犯自身合法權(quán)益的，應(yīng)準(zhǔn)備好具有法律效應(yīng)的證明材料，及時(shí)與融合網(wǎng)取得聯(lián)系，以便融合網(wǎng)及時(shí)協(xié)調(diào)第三方企業(yè)注冊(cè)用戶并迅速做出相應(yīng)處理工作。

融合網(wǎng)聯(lián)系方式：（一）、電話：（010）57722280；（二）、電子郵箱：2029555353@qq.com dwrh@dwrh.net

對(duì)免責(zé)聲明的解釋、修改及更新權(quán)均屬于融合網(wǎng)所有。