网络安全漏洞抢修中

　　8日晚，余弦和他的团队守在电脑屏幕前彻夜未眠，安全保卫者们敲击键盘的噼啪声一夜未断。不仅余弦，360、京东、微信、支付宝等公司的技术团队也彻夜奋战，和黑客们开展了一场“你盗我堵”的赛跑，在黑客窃取更多用户数据前赶紧予以修复。

　　数据已发生泄露

　　截至9日晚，国内12306铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕。但还有一些网站没有完成修复。

　　余弦说，该漏洞并不一定导致用户数据泄露，因为该漏洞只能从内存中读取64K的数据，而重要信息正好落在这个可读取的64K中的几率并不大，但是攻击者可以不断批量地去获取这最新的64K记录，这样就在很大程度上可以得到尽可能多的用户隐私信息。

　　一位安全行业人士透露，他在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功地登录了该网站。

　　尽快更改密码设置

　　余弦坦言，问题在于这个漏洞实际出现在2012年。两年多来，谁也不知道是否已经有黑客利用漏洞获取了用户资料；由于该漏洞即使被入侵也不会在服务器日志中留下痕迹，所以目前还没有办法确认哪些服务器被入侵过，也就没法定位损失、确认泄露信息。

　　知道创宇首席执行官杨冀龙建议，在相关网站升级修复前，建议暂且不要登录网购、支付类接口账户，尤其是对那些没有明确采取补救措施的网站，更应该谨慎避免泄密风险。对于一些已经完成升级的网站，用户应当尽快登录网站更改自己的密码等重要信息。安全人士指出，即使用户之前登录的网站发生了泄密，因为黑客掌握的账号密码数量庞大，短时间内无法消化使用，所以对于单个用户而言尽快更改密码设置是非常必要的。

　　手机APP也难逃劫难

　　OpenSSL安全漏洞不但影响网站安全，手机APP同样也难逃劫难。安全专家表示，即使安卓系统无漏洞，这些使用了https协议的APP的服务器端信息仍有可能被黑客窃取。据360手机安全中心最新统计发现，有50%的手机APP正在使用https安全传输协议。

　　安全专家建议：尽量在不同手机APP下使用不同密码，防止黑客攻击了某个服务器之后，使用同一密码进入你的其他客户端，特别是支付类应用的密码一定要单独设置；同时安装手机安全软件，检测手机及网络安全环境，防止被网络钓鱼。对于使用电脑上网的网民来说，在OpenSSL漏洞得到各大网站彻底修复前，尽量避免在有漏洞的网站上登入账号是最好的自保措施。

　　网银影响较少U盾可放心用

　　昨天，中国金融认证中心（CFCA）官方网站挂出文章，针对OpenSSL漏洞对网银的影响进行了说明，其表示，网银系统均使用商业级的SSL加密设备，很少有采用类似OpenSSL这样的开源软件，因此受到的影响较少。而对于普通用户，U盾可以完全放心使用。对于不能确认的网站，可通过一些免费的在线工具验证一下访问的网站是否存在这个漏洞。如果存在此漏洞的话，先暂停访问，等待漏洞得到修复。

　　本版稿件除署名外据新华社

　　小心黑客偷走你的网络钥匙

　　我省网络安全专家解读 OpenSSL安全隐患

　　昨日，本报记者采访陕西省计算机学会网络与信息安全专委会秘书长、西安电子科技大学计算机学院副教授沈玉龙，西安石油大学教网络安全课程的计算机博士孔劼，解读OpenSSL安全漏洞会给你带来哪些安全隐患。

　　黑客可以透过“漏洞”拿到你的网络“钥匙”

　　孔 劼 介 绍 说 ，“OpenSSL”是目前国际上使用最广泛的安全协议，通俗一点说，如果你在上网的时候看到网页前缀是“http”，而在登录某个账户时前缀变为“https”，就是“OpenSSL”在保护着你的账户和密码安全，对它进行了某种加密，而让别人无法获取到，或者只能看到一堆乱码。

　　但它此次曝出的漏洞在于，黑客将可以透过“漏洞”拿到你的网络“钥匙”。我们登录邮箱、微信、支付宝等，都有相对应的账户和密码，而黑客则可以看到你登录的信息，也就是说，只要黑客愿意，他可以拿到你的通往这扇门的“钥匙”，随意进入你的“家门”，查看你的“所有家当”，这就涉及到你的隐私和支付安全。

　　“网络安全漏洞一般说，可能是协议设计上存在漏洞，另一方面就信息安全本身来说，没有绝对的安全，即便这个协议没有漏洞，但协议是要运行在计算机上的，但用户其实并不能保证计算机是安全的，”沈玉龙教授说，因为我们现有的计算机的软件、芯片、操作系统都是国外生产设计的，而我们其实也并不了解这其中是否被人为设置了一些漏洞。“并没有绝对的安全，过多的安全机制的设置，如杀毒软件、防火墙等等，一方面会减缓计算机的运行速度，另一方面安全协议太复杂，也会不太好用。”

　　普通用户要及时更新自己的电脑安全补丁

　　“百度和谷歌知道你的信息，可能比你自己都要多。很多人喜欢发微博和朋友圈，这都是在暴露自己的信息。”沈玉龙教授说，目前最重要的问题，是人们很少意识到信息安全和网络安全的问题，而对于每天都要使

　　用各种账户和密码的老百姓来说，重要的是一定要认识到，网络是存在安全隐患的，而且后果可能是严重的。

　　通常来说，就网络支付而言，一定要将密码设置得尽量复杂些，包含多种字符，并养成定期更换密码的习惯，其次是从信任度高，有保障的大型购物网站购物，而且要学会识别钓鱼网站，不随便点击网络链接。

　　“但是普通用户并不需要太担心，因为在两亿用户中，被黑客读取账户和密码的机会很小，而且在网络安全中永远不会一劳永逸，因为不断有新的软件出现，就会有新的漏洞，然后各网络安全商就会发布‘补丁’来完善，这是一个循环往复的过程。”孔劼说，而普通用户可以做的，就是及时更新自己的电脑安全补丁，注意钓鱼网站，在各个网站尚未解决安全漏洞之前，尽量不登录或者少登录涉及资金、个人隐私的网站或系统，已经多次登录的用户请尽快修改密码、绑定手机、设置支付密码。

　　手机支付未来或自动启动最高级别安全模式

　　在近一两年内，像微信支付、手机支付宝等移动支付手段将大面积普及运用，那如何保障手机支付的安全性？沈玉龙教授说，从移动支付的安全协议来说，通常是可以保证支付安全的，但一方面要保护好密码，另一方面，当手机变成日常支付工具，也就不要随便借给别人使用，或者不小心遗失，都会比较麻烦。

　　目前在对移动终端支付的安全保护措施的探索中，有几种方式在未来可能会变成现实，保护我们的手机和手机里的钱，第一种，是使用密码和指纹识别结合的方式，或者是根据密码输入时手指触屏的习惯和速度来识别；第二种是在手机支付时，自动启动最高级别的安全模式，在支付的这几分钟内让手机的环境变得更安全，如我们目前在手机信息的保密模式中，可以分为机密、高密、秘密和非密等级别，在支付时也可以启动最高级别的保护，来对支付过程进行加密。 本报记者任娇(华商报)