本月初，全球各大主流媒體陸續(xù)曝出了關于互聯(lián)網有史以來最大的安全漏洞——“心臟流血”(Heartbleed直譯)，一時間，各大主流網絡公司的系統(tǒng)管理員們紛紛開始為自己的系統(tǒng)打補丁。這一安全漏洞很可能會被黑客們所利用，從而破解加密信息，竊取到用戶的個人數據。

[[111705]]

但是對于很多非主流的小型網絡公司而言，面對“心臟流血”，他們可能并不會采取任何應對措施或者消極應對。換句話說，“心臟流血”將會持續(xù)威脅互聯(lián)網安全很多年，它的余毒或許將會永遠殘留下去。

“Heartbleed”漏洞是由谷歌和一家在線安全公司Codenomicon的研究人員發(fā)現，它是OpenSLL開源網絡數據加密工具中包含的大約10行簡單的代碼，它將會影響到OpenSSL這一關鍵網絡加密技術。實際上，這個安全漏洞已經存在兩年多了，而且沒有留下任何可疑的跡象，黑客們利用它輕易獲取用戶的加密信息。

具體來講，如果某個網站采用的是OpenSLL加密技術，黑客便可以利用“Heartbleed”運行這個軟件的服務器來獲取敏感信息。而且，黑客不僅可以從網站上竊取用戶的個人信息，而且還可以偽造出該相應的冒牌網站，從而從一個服務器上“釣”取用戶的用戶名、密碼、信用卡詳細資料等大量信息。

更糟的是，當黑客利用“Heartbleed”安全漏洞進行攻擊時，這種不法行為是很難被察覺的。換句話說，目前還沒有一種有效的方法可以判斷出某網站是否已經被“Heartbleed”入侵。這也是為什么各大網站會盡快升級他們的OpenSSL版本，防患于未然。

盡管如此，由于目前有超過三分之二的網站采用OpenSSL加密協(xié)議，這些具有潛在風險的網站中有很多都是小型網站，它們沒有能力保證第一時間修復漏洞，有些甚至會選擇睜一只眼閉一只眼。

在線隱私保護公司Abine的首席技術官安德魯·薩德伯里(Andrew Sudbury)對此表示：“全球各個角落的機房里放著不計其數的服務器，很難保證每一臺都會打上預防Heartbleed安全漏洞的補丁”。

給存在安全隱患的網站“打預防針”并不難——系統(tǒng)管理員只需要升級相應的軟件包，重啟系統(tǒng)，然后更換OpenSSL的密鑰和安全證書。“這并不是很復雜，只是需要花點時間而已”，安德魯如是說。

上世紀90年代，黑客們曾利用一種所謂的“PHF exploit”漏洞來攻擊網絡服務器。但是當這個漏洞被發(fā)現并修復之后，每年通過該漏洞進行攻擊的事件還是層出不窮。

此外，安德魯還表示，歷史經驗告訴我們，近年來一些主要的網絡安全漏洞被發(fā)現并修復之后，黑客們依然會持續(xù)不斷的利用這些漏洞進行網絡攻擊。“Heartbleed”也不會例外，黑客們往往無孔不入。

即便是用戶在某一個網站上信息被盜，而且這個網站并不包含信用卡、用戶名信息等敏感信息，但是這一單個的薄弱環(huán)節(jié)也容易引起嚴重的破壞，特別是那些喜歡用同一個密碼進行各種網絡操作的用戶而言更是如此。

諷刺的是，一些對“Heartbleed”安全漏洞并不是很在意的網站實際上并沒有受到攻擊，而“Heartbleed”早在2012年3月份就出現了。

雖說“Heartbleed”的攻擊模式很難被察覺，但是這并不意味著用戶就只能坐以待斃。用戶可以通過某些工具檢測自己的網站是否需要升級OpenSSL版本，而且有些像Chrome以及火狐等第三方瀏覽器提供的擴展功能還可以進行隨機自檢，以避免被攻擊。

此外，用戶還可以通過為自己的服務器設置雙加密密鑰的方式來避免被攻擊，而且盡可能的更新所有密碼設置，且不要重復使用。

盡管如此，就算等到這個漏洞徹底消除，我們也沒辦法知道在此之前已經丟失了多少信息。我們將在未來許多年里都能感受到Heartbleed的余威。(拉里 編譯)