六年了，你還記得當(dāng)初被Heartbleed支配的恐懼嗎？

日子像平原走馬，一撒手，便無(wú)影蹤。據(jù)“心臟滴血”安全漏洞被發(fā)現(xiàn)，轉(zhuǎn)瞬六年已過(guò)，你還記得當(dāng)初的恐懼嗎?

那一夜，互聯(lián)網(wǎng)門(mén)戶洞開(kāi)

2014年4月7號(hào)，谷歌工程師NeelMehta發(fā)現(xiàn)了名為“心臟滴血”的openssl漏洞：黑客通過(guò)簡(jiǎn)單的方法進(jìn)行攻擊，就可以不費(fèi)吹灰之力拿到用戶和網(wǎng)站的隱私。這就像一枚核彈爆炸，讓全球大多數(shù)網(wǎng)站的密文傳輸系統(tǒng)瞬間崩塌。

瞬時(shí)間，互聯(lián)網(wǎng)界迎來(lái)了腥風(fēng)血雨，眾多世界知名互聯(lián)網(wǎng)公司為之一顫，國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)同樣陷入了兵荒馬亂之中，幾乎所有的安全公司、安全隊(duì)伍都陷入忙碌狀態(tài)，無(wú)一幸免。

甲方公司緊急進(jìn)行openssl版本升級(jí)，關(guān)閉核心關(guān)鍵業(yè)務(wù)進(jìn)行補(bǔ)丁修復(fù);乙方公司日夜奮戰(zhàn)對(duì)openssl進(jìn)行補(bǔ)丁升級(jí)、漏洞復(fù)測(cè)、新環(huán)境部署、新環(huán)境上線等;做黑產(chǎn)的黑客們也在積極進(jìn)行資料收集，拿取更多的敏感數(shù)據(jù)，更好的開(kāi)展黑產(chǎn)業(yè)務(wù);而各大src平臺(tái)則被白帽子提交的漏洞刷屏……

Heartbleed為何引起巨大風(fēng)波?

Heartbleed安全漏洞會(huì)削弱 SSL與 TSL兩大常見(jiàn)互聯(lián)網(wǎng)通信協(xié)議的安全性。受到Heartbleed影響的網(wǎng)站，允許潛在的攻擊者讀取用戶的訪問(wèn)歷史。換言之，精心謀劃的網(wǎng)絡(luò)罪犯可以借此找出用戶的加密密鑰。

一旦加密密鑰外泄，惡意攻擊者將能夠獲取入侵系統(tǒng)所必需的憑證(包括用戶名與密碼)。在系統(tǒng)內(nèi)部，入侵者還能利用失竊憑證所對(duì)應(yīng)的授權(quán)級(jí)別發(fā)動(dòng)更多后續(xù)攻擊、竊聽(tīng)通信內(nèi)容、頂替用戶并奪取數(shù)據(jù)。

六年已過(guò)，風(fēng)波依舊

如今，距離Heartbleed漏洞的最初披露已經(jīng)過(guò)去了六年，但它仍然廣泛存在于眾多服務(wù)器及系統(tǒng)當(dāng)中。當(dāng)然，OpenSSL的最新版本已經(jīng)做好了修復(fù)，但尚未(或者無(wú)法)升級(jí)至修復(fù)版本的OpenSSL系統(tǒng)仍會(huì)受到這項(xiàng)漏洞的影響，且極易受到攻擊。

對(duì)于惡意攻擊者而言，只要能找到Heartbleed漏洞，接下來(lái)就一切好辦：他們可以自動(dòng)進(jìn)行檢索，然后輕松完成入侵。在找到這類(lèi)易受攻擊的系統(tǒng)之后，利用過(guò)程相當(dāng)簡(jiǎn)單，由此獲得的信息或憑證也能幫助他們快速推進(jìn)其他后續(xù)攻擊。

你要做的是

雖說(shuō)“Heartbleed”的攻擊模式很難被察覺(jué)，但是這并不意味著用戶就只能坐以待斃。用戶可以通過(guò)天威誠(chéng)信自主研發(fā)的證書(shū)智能管理系統(tǒng)檢測(cè)自己的網(wǎng)站是否需要升級(jí)OpenSSL版本，而且有些像Chrome以及火狐等第三方瀏覽器提供的擴(kuò)展功能還可以進(jìn)行隨機(jī)自檢，以避免被攻擊。

此外，天威誠(chéng)信提醒您保護(hù)自己不受Heartbleed漏洞影響的最佳方式是：你不僅要更新你的密碼，而且要確保你選擇的密碼不被輕易地破解。

在互聯(lián)網(wǎng)飛速發(fā)展的今天，一些協(xié)議級(jí)、基礎(chǔ)設(shè)施級(jí)漏洞的出現(xiàn)，可能會(huì)打擊人們使用互聯(lián)網(wǎng)的信心，但客觀上也使得問(wèn)題及時(shí)暴露，在發(fā)生更大的損失前及時(shí)彌補(bǔ)。作為身處其中的個(gè)人或企業(yè)，主動(dòng)應(yīng)變、加強(qiáng)自我保護(hù)，可能比把安全和未來(lái)全部托付出去要負(fù)責(zé)任一些。