□影響

互聯(lián)網(wǎng)安全大地震

“這是近兩年來最嚴重的一次網(wǎng)絡(luò)安全危機?！?60公司技術(shù)副總裁譚曉生評價，在以https開頭的網(wǎng)站中，初步評估有不少于30%的網(wǎng)站中招，其中包括大家最常用的購物、網(wǎng)銀、社交、門戶等知名網(wǎng)站，而在手機APP的網(wǎng)銀客戶端中，則有至少50%存在風險。

據(jù)南京翰海源信息技術(shù)有限公司創(chuàng)始人方興介紹，通俗來講，通過這個漏洞，可以泄露以下四方面內(nèi)容：一是私鑰，所有https站點的加密內(nèi)容全能破解；二是網(wǎng)站用戶密碼，用戶資產(chǎn)如網(wǎng)銀隱私數(shù)據(jù)被盜??；三是服務(wù)器配置和源碼，服務(wù)器可以被攻破；四是服務(wù)器掛掉不能提供服務(wù)。

一位安全行業(yè)人士透露，他在某著名電商網(wǎng)站上用這個漏洞嘗試讀取數(shù)據(jù)，在讀取200次后，獲得了40多個用戶名、7個密碼，用這些密碼，他成功地登錄了該網(wǎng)站。

昨天下午，來自知道創(chuàng)宇ZoomEye網(wǎng)絡(luò)空間搜索引擎的監(jiān)控顯示，國內(nèi)有22611臺主機受影響，而前天這個數(shù)字是33303，可以看到情況正在好轉(zhuǎn)，超過30%的主機已經(jīng)修復(fù)。

“漏洞被挖掘出來以后，帶來的危害并不會非常快地顯現(xiàn)?！比鹦前踩珜＜姨仆嬖V記者，現(xiàn)階段企業(yè)層面能做的也是對使用的OpenSSL進行排查和升級。

不過，昨天也有業(yè)內(nèi)人士稱，這個漏洞其實并沒那么可怕，因為這是一個舊版本OpenSSL的安全漏洞，開發(fā)者把服務(wù)器程序升級到OpenSSL1.0.1g就可以解決。

□回應(yīng)

銀行銀聯(lián)支付不受影響

對于OpenSSL的漏洞，有傳言稱即便是銀行網(wǎng)上支付、U盾、銀聯(lián)支付也都并不安全。不過，業(yè)內(nèi)人士昨天向記者坦言，該漏洞對銀行網(wǎng)上支付、銀行U盾使用及銀聯(lián)的影響幾乎為零。

中國金融認證中心應(yīng)用開發(fā)部總經(jīng)理林峰表示，OpenSSL的這個漏洞是由于代碼實現(xiàn)不嚴謹造成的。這個漏洞存在于OpenSSL1.0.1系列版本中，之前的OpenSSL版本不受影響。天貓、淘寶使用的正是這個系列的版本，所以可以竊取到內(nèi)存中的數(shù)據(jù)。

“如果銀行使用了帶有該漏洞的OpenSSL開源軟件版本，會有一定的影響。但是這個漏洞只是竊取內(nèi)存中的數(shù)據(jù)，銀行的用戶密碼還有一重加密保護，一般不會在SSL服務(wù)器解密，所以也就很難拿到銀行用戶的密碼。”

林峰還表示，其實這個OpenSSL的漏洞和U盾的安全性沒有什么聯(lián)系，因為用戶的交易敏感信息是通過USB接口送入U盾后，在U盾內(nèi)部進行加密和數(shù)字簽名運算，SSL協(xié)議是對U盾加密簽名后的數(shù)據(jù)再進行一次傳輸層的加密。這次OpenSSL的漏洞對U盾沒有影響。

此外，中國銀聯(lián)相關(guān)負責人昨天也回應(yīng)稱，銀聯(lián)核心跨行交易系統(tǒng)運營基于專用網(wǎng)絡(luò)，與漏洞事件無關(guān)。該負責人稱，“銀聯(lián)在線支付”等基于互聯(lián)網(wǎng)的創(chuàng)新業(yè)務(wù)系統(tǒng)并未使用OpenSSL技術(shù)，對于個別外圍供應(yīng)商可能存在的OpenSSL漏洞，銀聯(lián)已通過主動排查，在烏云網(wǎng)等技術(shù)人士公開漏洞事件前就已協(xié)調(diào)供應(yīng)商消除了隱患，持卡人可以放心使用。