网络世界大混乱

                                                                                                                                                                                                                                                                                                

文 / 王云辉                                                                                                                                                                                                                                                                  

“有可能导致网络大混乱么？”反复修改了自己的问题之后，我点击了“发送”。                                                                                                                                                                              

片刻后，对话框里跳出一句回复“现在已经乱了。”                                                                                                                                                                                                                        

之后，是长久的寂静。                                                                                                                                                                                                                                                               

显然，网络对面那位顶级白帽（指以善意方式使用自身技术的黑客），已经顾不上搭理我——在这个不眠之夜，Ta还有太多的事情要做。

这一天，互联网世界发生了两件大事：一、微软正式宣布XP停止服务退役；第二件，OpenSSL的大漏洞曝光。                                                                                                                                 

很多普通人更关心第一件事，因为与自己切身相关。                                                                                                                                                                        

但事实上，第二件事，才是真正的大事件。                                                                                                                                                                                             

这个漏洞影响了多少网站，这个数字仍在评估当中，但放眼放去，我们经常访问的支付宝、淘宝、微信公众号、YY语音、陌陌、雅虎邮件、网银、门户等各种网站，基本上都出了问题。                 

而在国外，受到波及的网站也数不胜数，就连大名鼎鼎的NASA（美国航空航天局）也已宣布，用户数据库遭泄露。

这个漏洞被曝光的黑客命名为“heartbleed”，意思是“心脏出血”——代表着最致命的内伤。                                                                                                                                                                                                                                                                                                                                   

这是一个极为贴近的表述。                                                                                                                                                                                                                                                     

如果用专业的表述，OpenSSL是为网络通信提供安全及数据完整性的一种安全协议，它通过一种开放源代码的SSL协议，实现网络通信的高强度加密                                                                          

这也就是说，OpenSSL的存在，就是一个多用途的、跨平台的安全工具，由于它非常安全，所以被广泛地用于各种网络应用程序中。                                                                                             

但现在，OpenSSL自己出现了漏洞，而且是非常高危胁的漏洞。利用这个漏洞，黑客可以轻松获得用户的cookie，甚至明文的帐号和密码。

这就像什么呢？你背靠着城墙与敌人战斗，突然，墙垮了。         
于是，一场疯狂的竞速开始。                                                                                                                                                                                                                                                      

网站们开始紧急预警和修复升级，安全公司和白帽们忙着测试漏洞影响并进行扩展推衍，而更多的黑客们，则抓紧时间开始狂欢：                                                                                               

懂技术的人，深入地把玩这个漏洞，以它为武器，向自己久攻不下的网站发起攻击；不懂技术的小黑客们，也如同大战场边缘的游勇，利用漏洞四下劫掠

这是一个不眠之夜——除了大批仍茫不知情的网民。                  

面对危机，网站们策略不一，有的紧急升级OpenSSL；有的暂停了服务；有的服务还在，但暂停了SSL加密；当然，还有的在睡大觉……                                                                                       

希望他们早上起来以后，还能保持自己放松的心情。                                                                                                                                                                                                                    

事实上，就漏洞本身来说，现在黑客们争夺的就是时间，一旦主要的网站们完成漏洞修复，这一波地震就能算是过去，大家自然回归常态，该网购的网购，该玩的玩。                                          

不过，值得注意的是，由于OpenSSL应用非常广泛，所以相对网站等表面上的应用，它在各种客户端、VPN、WAF等其他领域，也将带来更加隐蔽的风险，并将持续一段时间。                              

而对整个互联网产业来说，这个事件更大的一个意义，在于让所有人重新回过头来反思：                                                                                                                                                              

当我们认为安全的一切，都突然变得不安全，我们又将如何维持这个虚拟世界的存续与稳定？                                                                                                                                                     

如果，这个事件能够改变环境，让因为不受重视，缺乏商业输血，长期处于孱弱状态的中国网络安全产业获得新的生机，或许，也能算是塞翁失马，终有所得。