当时，全球三分之二的网站在使用带有这一安全漏洞的软件，4月7日到4月9日三天波及2亿中国用户的信息安全。而该漏洞已经存在2年，之前是否被人利用不得而知，对未来的影响不可预估。年度最危险漏洞“心脏出血”，让我们的信息安全在滴血。

　　不是爆发，而是“爆料”

　　4月7日之前，欧洲的网络安全解决方案供应商Codenomicon和美国谷歌安全部门的研究人员，分别发现了被广泛应用的安全协议软件包——OpenSSL存在严重漏洞，被黑客称为“心脏出血”。4月7日程序员Sean Cassidy在自己博客上详细讲述了漏洞的原理。该漏洞能够让黑客轻易的获得网站上的用户名、密码、安全问题、信用卡号码......，涉及的范围包括电商、网银、在线支付、电子邮件......

　　据美国安全专家估算，全球大约三分之二的网站使用了OpenSSL软件包。已经承认并回应的网站包括著名的谷歌、亚马逊、脸书以及中国的腾讯、阿里巴巴等。中国的奇虎360安全中心则通过7、8、9三天的中国网友对相关网站的访问量，判断受牵连的用户达到2亿。

　　在随后的安全网站及媒体爆料中不难发现，“心脏出血”并不是在这三天之内出现的，而是存在了两年之久。在中科院计算机所研究员张云泉看来，这次安全漏洞并不是突然爆发，而是突然被爆料。“以前没人说出来而已，我相信这两年来黑客一直在使用，美国NSA估计也在用。”

　　因为黑客对于该漏洞的攻击不会在日志上留下记录，那么两年来是否有黑客攻击不得而知。360公司首席隐私官谭晓生认为，不仅是过去有没有攻击不知道，黑客如果掌握了信息，未来会不会使用同样是个未知数。

　　其实两年的漏洞并不算久的，谭晓生介绍，他们曾发现了微软存在十九年的漏洞，被称为“长老漏洞”。但是，“爆出这次漏洞的事情很蹊跷，欧洲公司和美国公司同时发布。它们同时发现肯定是小概率事件，有可能是早就发现，到今天才达成了某种协议。”

　　据英国《每日邮报》4月14日报道，在英国用户众多的“妈妈网站”日前被黑客通过“心脏出血”攻击，成千上万英国妈妈的信息恐遭泄露。很明显，这批黑客是听到“爆料”的后知后觉。目前，大多数网站都已将这一漏洞修补。

　　元凶——OpenSSL

　　耸人听闻的“心脏出血”，让OpenSSL这一陌生的名词进入了公众和媒体的视野。但在中国人民大学教授、系统与信息安全研究实验室负责人石文昌看来，绝大多数公众和媒体都存在误读以及误导。

　　首先要确定漏洞出在谁的身上——OpenSSL。它既不是出在安全协议SSL身上，也不是出现在安全通道https身上。举个例子，我们在网上买东西支付的时候，通常会发现支付的页面跟普通页面不太一样，有的时候网址旁边有把“锁”，常见的http变成了https。这时我们就进入了安全通道，相当于http的安全版。

　　在这个安全页面下，我们要进行支付就要输入用户名、密码，为了保护这些信息，就需要安全协议——SSL。它能够保证数据的完整性、发送到正确的电脑和服务器并在中途加密防止被窃取。这就是我们日常网络支付或其他安全操作的流程。

　　OpenSSL就是提供安全协议SSL以及相关服务、应用的软件包。比如某网站要进行支付业务，就可以安装OpenSSL，来解决安全协议问题。当然同类的软件还有很多，不一定非要选择OpenSSL，也可以自己开发。当然OpenSSL因为其开源性，使用范围很广。

　　而漏洞就出在这个软件包身上。它存在的位置，就是在服务器利用用户信息进行传输的过程中。在这一过程中，如果黑客发起对服务器的攻击，就能源源不断地下载64KB内存数据。不要小看这64KB，从黑客网友的网络截图中不难看出，账号、密码、安全问题一览无余。更有一位安全行业人士在知乎上透露，他在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功地登录了该网站。

　　漏洞仅存在于网站

　　从上面的逻辑关系，不难看出，漏洞存在于OpenSSL软件包，使用该软件包的是一些网站的服务器。那么只有我们在访问了使用该软件包的网站，并进入了安全页面才会有信息暴露的危险。当然这一范围已经着实不小。

　　至于漏洞的原因则非常简单，张云泉认为，“代码写得太烂了。”石文昌也分析，这就是一次程序错误，把那段错误的代码更换就没事了。所以从7日下午开始，各大网站已经陆陆续续修补了漏洞，把OpenSSL软件版本更新到1.0.1g。

　　但事情仍在继续发酵，360、金山等安全网站指出，漏洞风险不仅仅是在电脑端，在手机端甚至手机APP同样存在。谭晓生认定，只要使用了该软件包的电脑客户端、手机应用都存在风险。

　　而在此之前，苹果和微软都回应自己并不受漏洞影响。这就让人颇感意外，“如果苹果设备和微软系统都没事，我们还有什么可担心的？”

　　对此，石文昌分析道，“因为漏洞来自于服务器，苹果、微软不受影响，是指比如苹果商城、微软商城等。并不指自家的设备和系统，你用苹果手机访问有漏洞的网站，同样有风险。”对于手机应用而言，因为苹果官方商店严格管理，确实要比安卓应用的风险小。

　　面对漏洞，不惊慌、不侥幸

　　虽然漏洞已经存在了两年，但真正有记录的黑客攻击就是在漏洞发布的那三天。不少人就讽刺谷歌，如果他们不提这件事，可能大部分黑客都不知道。

　　谭晓生认为，这是一个很两难的话题，如果它不公布的话就没有人去修补，即使在小范围之内，知道的这些黑客就会持续不断发起攻击，最后还是有损失。公布的话可能会造成短时间的危机，但是会让大家在比较快的时间内把这个漏洞修补掉。面对这样的危机，不用惊慌。

　　“很多黑客都在在宣布之一消息的时候，才知道漏洞。”谭晓生建议，如果网友在4月7日到9日三天曾经进行过网络交易，从安全角度讲要及时更改密码。一些不涉及财产、数据安全的账户密码也应更换，不要心存侥幸。

　　Tips 一招辨别“心脏出血”

　　尽管大多数网站都将OpenSSL升级到新版本，弥补了漏洞。但仍有些网站“置若罔闻”。如果担心安全问题，只要将安全页面复制到网站https://filippo.io/Heartbleed/检查即可。注意是复制安全页面，既https开头的页面，不要复制主页。