“心脏出血”的经济影响正在发酵-资讯-贸易谷手机版

“心脏出血”的经济影响正在发酵

日期:2014-04-22 09:17 点击:26

　　全球近期被一个新鲜的词组—“心脏出血”(H eartbleed)折腾得心惊肉跳、寝食难安，因为这个名词，几乎颠覆了互联网世界一切既定秩序。然而，与以往不同，“心脏出血”既不是什么凶猛的病毒，也不是什么叵测的密码，而只是一个程序上的漏洞，且这个漏洞很可能并非出于蓄意破坏，而只是一次阴差阳错的疏忽所致。

　　2010年底，开源加密库O penSSL程序员、德国人罗宾·赛格尔曼提交了一份例行程序代码升级方案，由于时值新年假期前夕，赛格尔曼本人和审查者斯蒂芬·亨森鬼使神差地均未发现其中包含一个致命的程序漏洞，这个漏洞一旦更新成为O penSSL代码的一部分，就可能赋予这一加密库一个危险破绽，有经验的黑客可借此读取网络服务器内存，从而访问并窃取最敏感、最核心的用户数据。由于O penSSL本身的用途，正是为网站数据加密并提供隐私保护，通俗地说，就是网络安全的“密码锁”，“心脏出血”恰恰让这把“密码锁”的密码钥匙被公然挂在客厅里，后果可想而知。

　　4月3日，谷歌工程师尼尔·梅塔首先发现了“心脏出血”漏洞，随后计算机安全公司C odenom icon也发现了问题，并进一步证实了问题的严重性。4月7日，雅虎、GitH ub、LastPass等网站相继发布公告，承认受到“心脏出血”漏洞影响，建议用户更改密码。

　　直至此时，大部分主流网站和几乎所有主要电子运营商都对此事保持缄默，甚至有人乐观预期，“心脏出血”不过是“让大家麻烦些更换密码”的癣疥之患。

　　然而更惊人的消息很快传出：几天后，拥有150万注册用户的英国育婴网站M um snet公开承认，自己的数据库被黑客借助“心脏出血”漏洞成功入侵，部分用户密码和个人信息被盗。据称，该网站创始人朱斯汀·罗伯茨在自己网站上注册的个人ID和密码被人窃取并在网站发布信息，随后黑客主动通知网站管理员，表示自己是通过“心脏出血”漏洞成功入侵，警告“数据库不安全”。4月11日，著名黑客费多尔·安度特尼也通过“亲身实践”证明，通过“心脏出血”漏洞，熟练黑客可创建一个和合法网站一模一样的假网站，并伪造电子证书，诱使用户在注册、登录或进行在线交易时泄露有价值的个人信息。

　　上述消息意味着，此前一些人“只要换一下用户密码就万事大吉”的乐观预期与事实不符“心脏出血”可远不是个密码保护问题。

　　几乎与此同时，加拿大联邦税务局(C R A)宣布，同样因“心脏出血”漏洞，黑客闯入C R A官网数据库，窃取了多达900人的社会保险卡(SIN )资料。如果说此前的M um snet事件，黑客还带有试验、预警的“正面”目的，那么加拿大联邦税务局的失密事件，可谓“心脏出血”漏洞公开披露后第一次证据确凿、恶意明显的人为攻击。

　　从经济上讲，“心脏出血”已开始构成经济上的直接损失和间接影响。因为900人的SIN卡信息被盗，加拿大局CR A官方网站一度被迫关闭，原定4月12日的恢复时间被拖延到15日，且开放当天因信息涌入过多而造成网络访问不畅。C R A网站长时间关闭，影响了众多人网上报税，因为每年4月30日是加拿大报税最终期限，按规定倘4月30日前不能完成报税，会遭到罚款和收取利息。为此，CR A最终不得不宣布，今年如果逾期，将不会被追究责任。此外，CR A网络系统的关闭会影响某些中小企业的财务，甚至一来很多单位将无法按时发放员工工资。

　　一些财务专家指出，由于漏洞系与O penSSL加密库“捆绑”，CR A不得不斥巨资紧急更换了整个加密系统，不仅如此，当4月11日“安度特尼实验”的信息被披露后，CR A为防万一，不得不宣布将更多采用普通挂号信、而非电子邮件方式和用户联系，这意味着需要雇佣更多临时性人手，以及随之而来的成本增加。

　　然而“心脏出血”所造成的经济影响，恐远不止于此。

　　“心脏出血”给人们最大的震撼，在于迄今让互联网保持通畅，让人们相信网上交联这种“看不见的交流”可以建立，甚至可以发生商业交易的前提— 如今都被证明不可靠，或至少“不知道是否可靠”。此次“心脏出血”漏洞曝光之初，人们还庆幸除了雅虎，很少有大公司、知名网站卷入其中，但“安度特尼实验”和加拿大CR A网站的失密和一度瘫痪，让人们匆匆筑起的心理临时防线瞬间崩溃。

　　不管漏洞产生的真相是否出于故意，但谁都无法确信，其它类似情况和场合是否会重演；同样谁都无法确信，下一次人们碰上的仅仅是又一次“心脏出血”，而非心肌梗塞。

　　“心脏出血”漏洞刚刚报告之际，G itH ub匆匆发布了一份“安民告示”，列举了据称截至4月8日，对访问量排名TO P1000网站的“全面权威性调查”，得出的结论是，雅虎、Im gur等若干网站“存在较大隐患和风险”，而谷歌、脸书、维基百科、推特和亚马逊在线等主要网站“安全没有问题”。但只几天功夫，“白名单”上的亚马逊在线就公开承认“可能受到漏洞影响”，维基百科虽未直接提及“心脏出血”，却建议用户更改密码，更让人啼笑皆非的是，G itH ub自己随后也发布了和亚马逊在线几乎如出一辙的声明。这种做法本身，恐只会令本已被“心脏出血”严重影响了其对网络安全、对在线服务、对运营商信心的用户们，产生更多不信任感。

　　《华盛顿邮报》援引专家最新预计，认为“心脏出血”的直接、间接影响，将覆盖全球互联网用户的2/3，并促使成千上万用户改变其对谷歌、雅虎、脸书等的密码和使用方式。目前最有效的补救方式，是让每一家可能受到影响的网站更换安全证书，这势必牵扯到一笔庞大的开支。经此一役，无论是用户或者个人恐怕都会削弱对在线业务、电子营商的信心和兴趣。

　　或许，如某些专家所言，近年来流行的“通过增加密码锁增加安全感”的网站安全维护思路，需要有所调整了— 事实证明，这样做不仅耗费巨大，而且，一旦出问题的是密码锁本身，后果甚至比“开门揖盗”更不堪设想。