“心脏滴血”再敲互联网金融安全警钟

　　记者像往常一样，在睡前用平板电脑登录自己的Tumblr（Yahoo旗下的博客网站）账号，却看到了一条出乎意料的“紧急安全更新”——坏消息：“绝大部分网站所使用的信息加密技术被证实包含严重漏洞，Tumblr也受到其影响。对此，我们的团队立即采取了措施修复了漏洞，但我们依然建议您更改账户密码。”

　　若不是这则通知，记者或许会忽视OpenSSL这次名为“心脏滴血（Heartbleed）”的网络漏洞，作为一个日常仅仅局限于翻翻网页、刷刷微博、偶尔在网上购物的普通网民，从未料到网络安全风险居然离我们这么近

　　4月8日，国家信息安全漏洞共享平台（CNVD）发布了对OpenSSL存在的一个内存信息泄露高危漏洞“心脏滴血”的通知。由于OpenSSL应用极为广泛，包括政府机关、高校网站以及金融证券、电子商务、网上支付、即时聊天软件、邮件系统等诸多服务提供商均受到漏洞影响，互联网用户个人信息与财产安全面临着史无前例的巨大风险。

　　“心脏滴血”最早是由Google一支研究团队和一家芬兰安全公司Codenomicon同时发现的，被外界认为是至今影响最广、后果最严重的网络漏洞。更可怕的是，据悉，该安全漏洞实际存在已经超过两年时间。这意味着在过去两年中，互联网用户的个人信息实则均处于危险状态。

　　“心脏”为谁“滴血”

　　Codenomicon在“心脏滴血”网站（heartbleed.com）上如此解释：“这项漏洞致使大量的用户私钥和其他隐秘信息暴露于网络，考虑到漏洞存在时间长、攻击者盗取方便、对账户的攻击不留痕迹等因素，人们应当给予足够的重视。”

　　Codenomicon负责人向媒体表示，“我们从攻击者的角度，尝试从外部对我们的某些服务进行攻击，结果发现这样的攻击甚至不会留下任何痕迹。在不需要使用任何权限信息的情况下，我们居然轻易获取了密钥、用户名、密码、即时信息、邮箱信息以及公司重要的文件和通讯往来。”

　　国内资深网络极客（Geek）Tombkeeper在接受《国际金融报》记者采访时表示，“其实一则漏洞代码从被写入软件到被发现，时隔两年并不算特别长，很多漏洞都有十几年的历史。公众对此不能接受，主要是因为对相关知识不够了解。”

　　Tombkeeper认为，并不能说“心脏滴血”一直没有被发现，只能说没有向外界披露。

　　而被问及现在漏洞被公开是否会招致大量攻击时，Tombkeeper表示并不担心，原因是在公开的当日，主要网站已经基本完成了对漏洞的修复，并不会导致大规模的攻击。“相反，如果不公开，大家不知道，网站就无法得到及时的修复，漏洞便可能长期被秘密掌握消息的人所利用。”事实上，已经有研究显示，至少一个月前就已经有人在扫描该漏洞了。

　　随后，Tombkeeper向记者详细叙述了国内外各大网站针对“心脏滴血”漏洞的具体修复措施。“最为重要的是，应对可能已经泄露的信息做好备案，因为除非有特别的审计措施，绝大多数网站可能无法统计有多少敏感信息由于漏洞而被窃取。”

　　Tombkeeper表示，这些信息可能包括证书、Cookie、用户名密码等。“证书好办，可以重新申请颁发，最多就是花点钱；Cookie也相对好办，尤其是有些网站原本就对Cookie泄露有对抗策略；但是用户名和密码就比较揪心了。”

　　尽管相比于证书和Cookie，网站更容易得知是否因漏洞泄露了用户名和密码，也更容易统计出在漏洞细节纰漏后到漏洞修复前有多少用户登录过，但是接下来的处理要困难得多。

　　“给这些用户发消息通知改密码？从安全的角度说，这可能是个好办法，但未必会得到公关部门的支持。”对此，Tombkeeper建议，受影响的网站，尤其是用于购物、支付等用户账号价值较高的网站，应对密码可能被盗取的用户进行额外风控措施，比如更严格的IP登录地址检查、更严格的资金监控、更严格的异常操作监控等。

　　互联网金融安全隐患

　　北京知道创宇信息科技有限公司研究部总监、《Web前端黑客技术解密》作者余弦在接受《国际金融报》记者采访时坦言，这次漏洞对公众网络安全和财产安全确实带来了影响。“采用https这种基于OpenSSL组件的网站，用户登录的账号密码、隐私消息等都有可能因为这个漏洞而被攻击者盗取。”

　　知道创宇作为国内有影响力的互联网安全公司，在本次事件中负责为CNVD提供技术支撑。余弦称，由于采用https的网站大多具有一定的规模，财产保护机制的建设也较为完善，所以目前还没有直接证据表明用户的财产受到损失。但是，这个漏洞可能会间接对用户财产造成损失，“比如账号密码的泄露可能导致被用于实施钓鱼攻击。”

　　尽管 “心脏滴血”已经导致使用该协议的各大网银、在线支付、电商网站、门户网站、电子邮件等服务面临安全风险，但各个行业所受影响实则轻重不同。

　　余弦认为这次事件并不会使网银用户蒙受经济损失。他告诉记者，“心脏滴血”这一漏洞，形象地说，就好比是一个人去银行存钱，告诉工作人员“我要存5万元”，工作人员在存单上填了5万元，“存款者”实则并没有把钱交给银行工作人员，随后“存款者”又申请把这5万元全额取出，而工作人员却真的将5万元现金交给了“存款者”。“当然这里的‘现金’并不是真正的现金，大家不需要过于担心，而且攻击者对原先在网银中的财产根本没有办法移动。”

　　奇虎360网络信息安全专家谭晓生也告诉《国际金融报》记者：“此次网银并不会成为重灾区，银行应该会使用其他付费加密产品，反倒是电商网站、第三方支付、社交网站绝大多数都使用OpenSSL，受到的冲击更大一些。”

　　据了解，时下的互联网公司普遍选择OpenSSL。一来是出于作用与效果的考虑，二来则是因为它是免费的。

　　“银行一般会倾向于购买收费的软件，当然不排除收费软件也有一部分是在OpenSSL基础上修改而成的，但肯定还有一部分是不同于OpenSSL的，所以网银受到的危害就相对有限。”谭晓生认为，这次事件最严重的后果并不是直接的经济损失，而是用户信息的泄露，这就相当于银行卡的密码被偷，并不意味着钱财的直接损失，“当然，如果银行卡密码被犯罪分子所利用，通过比如复制一张银行卡等手段，回过头来还是可能把钱偷走”。

　　在漏洞被曝光的第二天，美国恰逢股市飘红，专家纷纷开始猜测对互联网金融安全依旧心有余悸的公众是否可能就此转战股市，为投资市场掀起一波新的热潮。

　　上海一位从事股票经纪工作的李女士就向《国际金融报》记者坦言：“接下来这段时间，我会密切关注科技股的情况。”李女士认为，互联网金融大热的局面或多或少会受到这次OpenSSL网络漏洞的影响，“即使不是直接转战股票市场，但至少大家的心理会产生一定的变化。毕竟涉及到了钱，大家都会比较谨慎。”

　　然而，坚信这次事件并不会对互联网金融产生显著影响的人也不在少数，谭晓生就是其中的一位。“互联网金融的优势还是在它的收益性，比如比存款享有更高的收益、享受更低的贷款利息，这些都是实实在在的好处。”

　　尽管并不完全认同，谭晓生却不得不承认，公众对网络安全的问题并不是特别敏感，这次事件对大家的影响可能会持续一两周，但随后便会被淡忘，“这次漏洞不会对互联网金融产生大的影响，甚至公众原有的购物习惯也不会因此有所改变。”

　　不可否认，“心脏滴血”之所以受到那么大的关注，甚至在漏洞被曝出后的几个小时就先后占领各大科技报章杂志及网站首页，在很大程度上也是受益于互联网金融和移动支付受到追捧，越来越多公众选择网购和使用第三方支付业务，也就有越来越多用户在意自己的网络隐私和网上交易动态。

　　尽管截至记者发稿前，国内并未被曝出因本次事件而导致个人信息被盗并遭受财产损失的情况，但也给愈发依赖网络的当下公众提了一个醒。余弦认为，“心脏滴血”应当为公众敲响警钟，“安全是动态的，这是共识。实际上，每年都会出现两到三次全球性的安全事件，用户应当要提高警惕，风险是一直存在的。”

　　手机客户端风险未除

　　就在漏洞被曝出的4月8日下午，绝大多数受到影响的网站都已经完成了修复工作。然而，到了4月9日，奇虎360的研究人员发现该漏洞影响了网站，由于OpenSSL不仅适用于网站，也可以使用在手机客户端，所以手机客户端的信息也同样面临风险。但和网站有专业人员修复漏洞的情况不同，手机客户端的漏洞，目前看来无法很快得以修复，而用户也无法通过更改密码确保安全。这一判断也得到互联网金融安全方面专家“小微封”ＣＥＯ徐海光的认同。徐海光认为必须再加一把“安全锁”，即自己的设备（如手机）识别，“加锁”后即使密码被盗也不怕。

　　在徐海光说的新技术尚未推广使用的现在，最现实的自我保护方式依然是更改密码。“第一步该做的是改密码。”谭晓生说，“尤其是在4月7日至9日登录过电商网站的。很多人在漏洞网站会使用同一个密码，可能会被有心的攻击者多次利用，所以最好都能改掉。”

　　让大量“果粉”备感欣慰的是，“心脏滴血”漏洞并未使苹果公司受到影响。苹果方面表示，一直以来都对安全问题给予了高度的重视，iOS和OXS系统程序未使用此次发现漏洞的软件，因此主要的网络服务都未受到影响。

　　而相比之下，成千上万的安卓手机和平板电脑用户就没那么幸运了。黑客如今仍然可能悄无声息地将他们的密码、信用卡信息、加密密钥甚至其他敏感数据盗走。上周，负责发布与更新的Google产品经理Matthew O’Connor在个人博客中称：除去安卓4.1.1以外所有的安卓系统都不会受到“心脏滴血”影响，而针对这一版本的补丁信息正在向设备制造商和手机运营商分发。尽管该版本发行于2012年，但由于系统兼容问题，预计有数百万安卓用户如今仍然在使用这一版本的系统。据Google方面消息，多达34.4%的安卓用户使用4.1 - 4.2版本的系统，而使用4.1.1系统的精确数据仍不得而知。

　　安全专家认为，尽管Google旗下包括Google搜索、Gmail、YouTube、Google地图在内的绝大多数业务都已经修复了漏洞，但是配备安卓程序的设备并不容易排除安全风险。网络安全公司Lacoon Security总经理Michael Shaulov向媒体透露，“最重要的原因之一就是安卓的更新周期很长，设备制造商和运营商需要一同修复这项漏洞，这会是一个漫长的过程。”

　　而移动安全公司Lookout首席安全研究员Marc Rogers认为，就目前看来没有迹象表明黑客试图利用“心脏滴血”攻击安卓设备，因为针对移动设备的攻击不仅更为复杂，成功率也很低。

　　全球市场压力大

　　4月8日漏洞消息一出，加拿大税收部门暂时关闭了网上业务，加拿大税务局（CRA）在其官方网站上发布公告称：“暂停网上业务可能会对加拿大公民、个人与企业带来巨大的不便，因此造成违约的纳税人将得到加拿大税务局的谅解。”

　　即使如此，依然有900人的社会保险号码在加拿大税务局网站遭窃。CRA方面表示，在得知“心脏滴血”漏洞后即可对网站系统进行了更新，而就在漏洞公布至修复完成的这短短６小时内就被攻击者钻了空子。

　　“很遗憾，在这６小时中依然有加拿大纳税人的信息被窃取，”CRA在对加拿大媒体发布的声明中写道，“就目前我们的分析数据来看，攻击者利用漏洞将大约900位纳税人的社会保险号码（SIN）从CRA系统中移除，我们正努力对其他数据碎片进行分析，部分企业的信息可能也已经被移除。”

　　据悉，SIN被盗的个人将会通过由CRA寄出的挂号信得知该消息，“税务局不会通过打电话或私人邮件告知受到影响的用户，这么做也是为了确保双方沟通的安全，杜绝不法分子利用此事进行网络钓鱼诈骗。”

　　英国网络安全公司Check Point董事Keith Bird对此表示，黑客利用漏洞行动速度非常快。“加拿大税务局公开宣布只采用挂号信形式与受害者联系是最为正确的做法，这样一来任何企图通过邮件和电话与纳税人取得联系的行为就能被定性为诈骗。”

　　Keith Bird接着说，“接下来几天这样的公开声明会接踵而至，现阶段最重要的事情之一就是提醒公众，对于那些打着机构旗号发送的通知邮件千万要提高警惕，不要去点击里面的所谓安全地址。无论邮件本身看起来有多像真的，很可能只是黑客伪造出的钓鱼邮件，目的还是为了窃取用户的个人信息和密码。”

　　世界各地的公司都在“心脏滴血”漏洞公布后第一时间开始修复工作，而美国政府和当地的科技公司对此次事件更是高度重视。包括美国思科、惠普、IBM、因特尔、瞻博网络在内的公司都已经就漏洞可能导致的危害向顾客发出警告，大多数公司已经完成漏洞的修复。

　　此外，美国监管部门也警示金融机构切莫忽视“心脏滴血”的危害。联邦金融机构检察委员会在发给银行的通告中写道：“攻击者可能通过解密、欺诈、对网络通讯过程的中间人进行攻击的方式窃取信息；攻击者可能冒充银行或用户，盗取登录凭证，访问敏感的电子邮件，或访问内部网络。”美联储表示，目前仍不清楚对于是否已经存在针对该漏洞的攻击。