于是，一场疯狂的竞速开始。

　　网站们开始紧急预警和修复升级，安全公司和白帽们忙着测试漏洞影响并进行扩展推衍，而更多的黑客们，则抓紧时间开始狂欢：

　　懂技术的人，深入地把玩这个漏洞，以它为武器，向自己久攻不下的网站发起攻击;不懂技术的小黑客们，也如同大战场边缘的游勇，利用漏洞四下劫掠。

　　这是一个不眠之夜——除了大批仍茫不知情的网民。

　　面对危机，网站们策略不一，有的紧急升级OpenSSL;有的暂停了服务;有的服务还在，但暂停了SSL加密;当然，还有的在睡大觉……

　　希望他们早上起来以后，还能保持自己放松的心情。

　　事实上，就漏洞本身来说，现在黑客们争夺的就是时间，一旦主要的网站们完成漏洞修复，这一波地震就能算是过去，大家自然回归常态，该网购的网购，该玩的玩。

　　不过，值得注意的是，由于OpenSSL应用非常广泛，所以相对网站等表面上的应用，它在各种客户端、VPN、WAF等其他领域，也将带来更加隐蔽的风险，并将持续一段时间。

　　而对整个互联网产业来说，这个事件更大的一个意义，在于让所有人重新回过头来反思：

　　当我们认为安全的一切，都突然变得不安全，我们又将如何维持这个虚拟世界的存续与稳定?

　　如果，这个事件能够改变环境，让因为不受重视，缺乏商业输血，长期处于孱弱状态的中国网络安全产业获得新的生机，或许，也能算是塞翁失马，终有所得。

　　4月8日是黑客和白帽们的不眠之夜。他们有的在狂欢，逐个进入戒备森严的网站，耐心地收集泄漏数据，拼凑出用户的明文密码;有的在艰苦升级系统，统计漏洞信息，还要准备说服客户的说辞，让他们意识到问题的严重性;当然还有淼叔这样看热闹不嫌事大的，拼命恶补安全常识、寻找专家采访，试图记录这历史性的一夜。

　　这一夜，互联网门户洞开。

　　基础安全协议“心脏出血”

　　北京知道创宇公司的余弦守在电脑屏幕前彻夜未眠。作为一家高速发展的安全企业研究部总监，余弦在国内黑客圈资历颇深。他向淼叔介绍了这次事件的起源。该漏洞是由安全公司Codenomicon和谷歌安全工程师发现的，并提交给相关管理机构，随后官方很快发布了漏洞的修复方案。4月7号，程序员Sean Cassidy则在自己的博客上详细描述了这个漏洞的机制。

　　他披露，OpenSSL的源代码中存在一个漏洞，可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中，可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。

　　OpenSSL是目前互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。可以近似地说，它是互联网上销量最大的门锁。而Sean爆出的这个漏洞，则让特定版本的OpenSSL成为无需钥匙即可开启的废锁;入侵者每次可以翻检户主的64K信息，只要有足够的耐心和时间，他可以翻检足够多的数据，拼凑出户主的银行密码、私信等敏感数据;假如户主不幸是一个开商店的或开银行的，那么在他这里买东西、存钱的用户，其个人最敏感的数据也可能被入侵者获取。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点