解读：“心脏出血”漏洞，你应该了解什么？_网易科技
解读：“心脏出血”漏洞，你应该了解什么？
用微信扫码二维码
分享至好友和朋友圈
钛媒体注：昨日开始，一个名为“心脏流血”网络安全漏洞引起了广泛关注，堪称“年度安全漏洞”。这个名为Heartbleed的漏洞最早由谷歌研究员尼尔·梅塔（Neel Mehta）发现，它可从特定服务器上随机获取64k的工作日志，整个过程如同钓鱼，攻击可能一次次持续进行，大量敏感数据可能泄露。权威发布该漏洞信息的网站，目前已经详细发布了有关这一漏洞的原理以及修复方法。
类似的互联网安全漏洞在去年就曾发生过一起。去年，一个由JAVA Struts 2引发的漏洞出现，导致“用JAVA Struts 2的这个结构来开发的程序会面临被黑客入侵”，是一次由程序语言引发的漏洞事件，主要针对的也是电商网站，对银行造成了重大威胁。
而安全专家、360副总裁兼首席隐私官谭晓生对钛媒体表示，今年的OpenSSL漏洞，影响范围比去年的JAVA事件要更广泛，可以理解为全面覆盖各个行业。谭晓生从网络安全的角度对这一漏洞进行了解析和科普。
作为赖以网络生存的网民，你到底需要了解什么？钛媒体根据谭晓生的现场发言和问答，将核心问题整理如下：
漏洞的问题出在哪？
网络安全漏洞比较常见。去年，业内曾出现一个由JAVA Struts 2引发的漏洞出现，导致“用JAVA Struts 2的这个结构来开发的程序会面临被黑客入侵”，是一次由程序语言引发的漏洞事件，主要针对的也是电商网站，对银行造成了重大威胁。
而这一次爆发的漏洞，之所以命名为“心脏出血”，根本原因是基本的安全通信方式出了问题。
SSL是怎么回事？
SSL安全套接层（Secure Sockets Layer，SSL）是一种安全协议，是在通信的时候进行加密传输的协议。由网景公司（Netscape）推出首版Web浏览器的同时推出。
谭晓生举了很通俗的例子来说明：当我们要找人送信，这封信如果你明文写的，在传输过程当中就有人能够打开这封信，能够读到信件的内容。从古代开始，人们开始对信做“秘文”的处理，没有密码对照表的人看不懂（这和地下党潜伏时期使用的密电道理一样）。在计算机的通信领域，有同样的加密技术。我在传输的时候把这个“信”——比如在网络上传输出去的时候，对内容加密，到接受端再被解开，大家做加密的时候要有一个协议，类似要商量好“我送过去是什么东西”，你在接受的时候再解密——这就产生了SSL协议。
而这个协议，最终在计算机世界里面得有人把它写成程序供大家使用。随着开源软件逐渐流行，有人做了OpenSSL的开源软件，所以OpenSSL是在互联网里面被广泛采用的用来做网络加密通信的一款软件。
很多厂商都使用了OpenSSL软件进行加密，包括国际上著名的网络设备厂商，这次无一例外也“中招”了；国产用户，除了比较清楚自己在哪些网站使用了OpenSSL的东西，还有部分VPN设备也大多数用了OpenSSL的代码（做了功能上的扩充或者性能上的增强），所以部分硬件、盒子也可能受到影响，因为设备中的供应商可能采用了OpenSSL协议。
漏洞会让黑客产生什么攻击？
用户在网络上选择做加密通信的时候，认为我传输的东西是比较关键的，比如我的用户名和口令、信用卡卡号、银行卡号还有支付密码等。甚至有一些见不得人的东西比如艳照之类的，通过加密邮件加密，是比较常见的加密通信。
在电商网站和网银系统，基本上采用的协议也是SSL。原因是，SSL协议在过去被使用的过程中被验证是比较可靠的，协议本身比较安全，协议中每一次密钥是动态变化的等等，具有一系列的安全机制。简言之，黑客攻击类似的网站、系统，办法就是“攻击服务器，把秘钥套出来”。不过，黑客是否能成功获取加密的私钥，安全领域各方还存在争论，360公司负责网络安全的工程师正在就此做评估。
预计将带来哪些危害？
第一、一旦危害造成，绝不会像过去的漏洞那么简单。
也就是说，软件开发者或者安全专家把这个漏洞补了之后不再发生，就万事大吉了——这件事的预测这件事的首尾比较长，这件事的攻击方法在4月7号被之前应该流传一段时间，美国一个网站一周之前就修复了这个，也就是他们有人知道了这个信息提前修复了。
在黑客里面有人得到了这个攻击方法，在4月7号这件事公布出来之前，有可能有黑客在互联网上扫描和收集过这些信息，它就把收集的一块块的64K、64K的数据收集，然后利用，危害和侵害是最后产生的。比如我拿了陈涛（音）的卡号和支付密码，我不见得立马取钱，他就赌他不知道这件事情，他可能不会及时的改密码，我过半个月取，这时候大家的警惕心就下来了，或者我用其它网站的帐号慢慢再黑上去，再去拿东西，这个事往后处理的时间和影响造成的危害会慢慢暴露。
第二、因为OpenSSL的VPN服务过去做得比较成功，所以用户众多，影响面比较广。
9日中午，360公司刚刚处理完毕北京大学的VPN设备问题，工程师查到一个来自北京联通的IP在扫描器设备，而扫出来之后返回的结果是有问题的。在360相关人员检测到这件事之后，向北大网络中心的人询问，对方称，昨天就发现了，因为是一个VPN设备于是联系了厂商，厂商一直没有给回复。360联系到该服务厂商，厂商给出的建议是“软件降级”。问题就来了：受到漏洞影响的设备厂商，往往反应速度不够快。是生死上，解决漏洞问题的方法应是“软件升级”，而厂商无法及时提供一个版本修复现在的漏洞，供用户升级，只好给出“降级”的建议。
第三，还会有更加深远的影响。
因为OpenSSL这个产品，别人在使用它的时候，不仅仅把它当做一个独立的软件来用，还有把它当做基础模块来用。就是我建造房子的时候，我就用了这种砖，把这个房子砌起来，认为这块砖比较结实，结果我们发现这块砖是豆腐渣，它中间有重大的问题，也块砖某天在某种压力之下可能就碎了，尤其这种砖被用来建不同的房子都不知道。
影响范围有多大？
正如目前相关媒体报道中提到的，中国范围内受到此次漏洞影响的的服务器接近三万台。360公司的安全部门也在第一时间做了扫描，“在全球大概扫描出来4000万台服务器开了SSL的服务，在中国开通SSL服务的机器，我们的数字同另外一家厂商数字很接近，他扫出来三千几百万，我们扫出来的四千万台；其中，中国大约有3万台左右的服务器装了OpenSSL软件，大概有3万台服务器受影响。”
我们估计在过去的两天（4月7、8号），访问到3万台服务器的用户，大概接近1.5亿——2亿。可能不会影响到某个人，但过去两天内用户登陆过一些电商网站是有关系的，7、8号这两天有非常大的风险。部分信息可能被黑客盗取。
服务提供商和个人，该如何应对？
最需要知道的两个事实：一、淘宝、支付宝已经确认进行了修复；二、在确认登陆网站做过修复后，修改密码是最直接有效的办法。
网站要赶快做升级OpenSSL。原来是OpenSSL0.1G之前的版本，这是4月7号发布的版本，这就OK了。我们现在检测到的大概只有一小半的网站做了升级，还有一大半没有升级。大网站反映比较快，基本上昨天晚上连夜升级了，但是中小一点的网站，比如像政府的机构，它的行动会慢一些，还有一大半没有升级，网站升级，企业要检测自己的东西有没有问题，有的话自己能升的就升，不行找服务商，实在不行我们也开了热线电话，我们工程师会直到大家怎么升级。
对于个人，如果你登陆过需要输入登陆账号、或者网银的网站，接下来最好的方式就是查看一下，是否软件和漏洞有修复。比如像淘宝、支付宝之类的，我们已经确认这些站已经昨天晚上修复了。对于依然将长期使用这些网站的个人来说，最彻底的办法就是修改密码——但是不能先急着把所有的密码改了，先看这个站点有没有把所有出问题的部分修复好，如果已经把漏洞都补了，用户再去修改密码，对个人防护来说这是最有效的方法。
此外钛媒体更加关心一个问题：谁来负责通知那些可能有漏洞的网站？
谭晓生表示，奇虎360针对此项服务的产品叫“360网站安全扫描”，目前，已有120万个网站在其系统进行登记。“我们有站长联系人信息，这里面做网站扫描我们发现有1万多个网站有问题，对这1万多个网站直接发了邮件，告诉站长有漏洞问题。具体数字大概1.14万个，这大概是中国合规网站数量的1/3，另外2/3我们有扫描数据，但是没有办法联系站长。”
然而业内有一点遗憾是：在漏洞修复这件事情上，作为提供安全服务的公司，却很难有所作为。因为“心脏出血”漏洞的修复将涉及到用户要去修改它自己服务器上的软件，作为第三方的软件厂商，涉及到用户信息是一件“很难做”的事情。
除此之外，“心脏出血”漏洞事件，对于全球的网络安全服务商都将是一次考验。有关国内的安全产业是什么情况？
谭晓生介绍说，国内安全领域大概有两千来家企业，一年的营业额大概在200亿人民币左右。2014年，360公司方面估计，整个产业链产生的销售额预计达到200亿人民币，其中，规模最大的一个厂商，去年的收入是9.9亿人民币——就是说，最大的厂商收入只占了全部收入的不到5%。“这是一个高度碎片化的市场，” 谭晓生说，安全市场过去做生意的办法主要是线下强大的销售方式，“不是批发，是做大客户。” 众所周知，奇虎360略有不同，360是针对个人市场提供服务，和2B的企业服务不尽相同。但未来最终的服务模式将变为“云模式”，某个组织租用和建立私有云，在私有云体系中对所有人提供服务，将成为趋势。
（关注更多钛媒体作者观点，参与钛媒体微信互动（微信搜索“钛媒体”或“taimeiti”））
技术, 行业,
(本网站文章除特别标明，均属 @钛媒体 原创，转载请注明出处并附上链接)
本文来源：钛媒体
责任编辑：王晓易_NE0011
用微信扫码二维码
分享至好友和朋友圈
加载更多新闻
热门产品:　　　
:　　　　　　　　
:　　　　　　　　　
热门影院：
阅读下一篇
用微信扫描二维码
分享至好友和朋友圈58被浏览16673分享邀请回答5311 条评论分享收藏感谢收起2添加评论分享收藏感谢收起太莽撞！资阳男子遭铁锹刺进心脏，竟一把拔出！
吓死了，被铁锹刺进心脏，他竟将铁锹一把拔出！万幸的是大量出血后凝结的血块，恰好堵在左心室的贯穿伤口上，短暂地控制了出血，为救治争取了时间。提醒大家：受到锐器伤害后首先是不要擅自拔除锐器。虽锐器刺入体内导致损伤，但同时体内异物也有止血作用。
2月1日，正值大年初五，家住资阳市雁江区临江镇的伍先生一家还沉浸在新春佳节的氛围中，亲友邻居聚在家里打麻将聊天。晚上7时30分左右，因为前两天晚上熬夜后有些疲倦，伍先生躺着看了会儿电视，早早地准备休息前，他迷迷糊糊走进厕所，不小心摔倒了，谁料，地上正好有一把农用的铁锹，不偏不倚，恰好刺入了伍先生的左胸。
在伍先生家的亲友邻居听见“啊”的一声惊呼，只见伍先生捂着心口走了出来，衣服上沾了不少血。原来，铁锹刺进身体后，惊慌失措下，伍先生竟然一把将铁锹拔了出来，顿时，鲜血呈喷射状迸出，伍先生赶紧用手捂住伤口，看到这一幕，伍先生的妻子马女士吓得差点晕倒过去。
“马上开车就往医院送，顾不上打120了。”幸亏当时人多，邻居开着车和伍先生儿子赶紧将其送到最近的四川省人民医院资阳医院，平时需要半个小时的路程，这次只开了10多分钟。医院急诊胸部CT检查，发现铁锹刺破了伍先生的心脏，在左胸和心包内形成了大量的积血，情况十分危急。
“这种心脏破裂伤是非常严重的危重症，很多病人来不及被送到医院，能被成功救治的不到30%。”四川省人民医院资阳医院普外一科主治医师郑中龙说。郑中龙仔细看了检查结果，发现伍先生的左胸、心包内的积血、积液量超过1500ml，失血量较大。但不幸中的万幸，大量出血后凝结的血块，恰好堵在伍先生左心室的贯穿伤口上，短暂地控制了出血，为下一步的救治争取了时间。
随即，医院开通绿色通道，多科室合力，第一时间将伍先生推入手术室，普外一科主任李涛主刀，开胸探查、止血、心包开窗引流、左心室裂伤修补止血……
手术完成后，还特别多观察了半个小时，确定情况稳定后，伍先生才被推出了手术室。7日中午，刚刚吃完午饭的伍先生坐在病床上看电视，已经转入普通病房的他恢复状况良好。
郑中龙医师说，锐器导致的意外伤害在农村并不少见，许多伤者和家属没有正确的处理方式，往往会导致继发性损伤。“首先是不要擅自拔除锐器。”郑中龙说，锐器刺入体内导致损伤，但同时体内异物也有止血作用，擅自拔除往往更容易导致大出血。“如果伍先生没有自行拔除，可能出血量会小一些。同时，把锐器留在伤口上，也便于医生对伤口的深度、伤情进行有效的判断，利于下一步治疗。第一时间将伤者送医进行专业救治，才是意外伤害发生后最正确的处理方式。移动伤者过程中，要固定住锐器，避免晃动或震动产生继发性伤害，使用干净的纱布、纸巾进行压迫性止血，避免感染。“像伍先生这种伤害到心脏的，尽量保持伤者平躺，因为大出血后会导致重要脏器的供血不足。”郑中龙说。
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
今日搜狐热点心脏被刺穿后要多久才不会喷血？_百度拇指医生
&&&网友互助
?心脏被刺穿后要多久才不会喷血？
拇指医生提醒您：问题下方回答为网友贡献，仅供参考。
半分钟就不喷了，血喷完了，呵呵，怎么问这么萌的问题，这是个数学和物理结合的问题，想要更精确的答案，等你学完高等数学和物理及相关医学知识后就懂了。
向医生提问
完善患者资料：*性别：
自巳试了才知道.
为您推荐：
* 百度拇指医生解答内容由公立医院医生提供，不代表百度立场。
* 由于网上问答无法全面了解具体情况，回答仅供参考，如有必要建议您及时当面咨询医生
向医生提问牙龈出血是小事？小心引起心脏病！
核心提示：进入冬季，气候干燥，加上经常打火锅，不少人会把牙龈出血、牙龈肿痛、口臭误认为是“上火”所致，没把这些小症状放心上。殊不知，这些可能是牙周病的症状，竟会引起心脏问题。
　　据媒体报道，今年40多岁的杨先生平时身体一直不错，不过最近老觉得胸部不大舒服，早上起来刷牙的时候经常会出血，到医院检查，发现异常，医生对他进行了全身检查也没能查出引起的原因。随后，口腔科医生经检查发现，杨先生的牙齿周围有较多的牙菌斑，诊断杨先生是引发的心脏病。在经过一周的洁牙及全身抗炎治疗之后，杨先生的心电图基本恢复正常，胸部不适的感觉也消失了。 　　进入冬季，气候干燥，加上经常打火锅，不少人会把、牙龈肿痛、误认为是“上火”所致，没把这些小症状放心上。殊不知，这些可能是牙周病的症状，竟会引起心脏问题。据了解，牙周病是诱发心脏病的危险因素之一。　　为什么牙周病也会跟心血管健康有关？关键就在于牙周病的细菌对患者血液环境的影响。牙周袋内细菌每天都在通过破损的上皮组织进入血液而引发一过性。菌血症状不断发生，进入的细菌数量大量增加并长期累积，在细菌的作用下，牙周病患者的血管形成的几率比一般人要大，更容易出现等心脑血管疾病。&&& 所以，若出现以下四种情况的任意一种，就要及时到医院口腔科进行检查。　　1.刷牙时经常出现不同程度出血，或咬食物时食物上有血迹，甚至牙龈红肿一碰就出血。
　　2.牙齿出现了松动，或者牙根暴露。　　3.口腔有较为浓烈的异味，生活小措施比如、喝水都难以缓解。　　4.牙龈松软，吃东西容易食物嵌塞。39健康网(www.39.net)专稿，未经书面授权请勿转载。
扫码或关注微信公号jjkkxxg回复【风险】即可测试
常见症状： 并发症状：相关检查： 推荐用药：
有消炎止痛作用。用于急,慢性牙...[]
推荐医院：推荐医生：
这些疾病都不是你要找的？ 用工具试试！
分享到微信朋友圈
“扫一扫”分享
在线咨询（向医生免费提问）
请在此提交您的问题，即有万名医生10分钟内为您解答
答你所问，名医在线近距离。
肿瘤的真相与误区
健康有益事
减肥达人秀
女人除了怕不孕之后更怕的是一身妇科疾病缠身，怀孕的就那…… []
在我国的中医院校经常能看到一批批外国医生围着中国医生学…… []
宝宝哭的原因有哪些？有些刚出生几个月的宝宝莫名地哭泣，…… []
轻度脂肪肝一般多坚持一定量运动，少食动物内脏等过油食物…… []
进入冬季，气候干燥，加上经常打火锅，不少人会把牙龈出血、牙龈肿痛、口臭误认为是“上火”所致，没把这些小症状放心上。殊不知，这些可能是牙周病的症状，竟会引起心脏问题。据了解，牙周病是诱发心脏病的危险因素之一。}