为什么心脏出血，这一最新的网络安全恐慌，重要 - 彭博社

摄影：Getty Images又一天，又一个可怕的计算机安全漏洞。一个广泛使用的加密技术中的漏洞使黑客能够渗透许多世界上最大的官方网站，并在不留痕迹的情况下从服务器下载敏感信息。这个问题被称为Heartbleed，已经存在两年，但最近被 谷歌 的研究人员发现，引发了一场修复的争夺战。试图追踪新的安全漏洞可能会让人感到头晕，但这就是为什么这个漏洞值得关注的原因：

它影响你使用的服务。 这个问题是OpenSSL的一个缺陷，据估计，它应该保护超过90%的在线通信。由于许多地方可能存在漏洞，找到所有需要修复的地方将是困难的，安全公司FlowTraq的首席执行官Vincent Berk表示。“我们不仅仅在谈论Web服务器，”他在一封电子邮件中写道。“还有其他通常不在Web浏览器中访问的Web启用应用程序和服务使用OpenSSL，比如基于Web的会计服务、数据库或其他内部系统。企业可能没有更新所有的服务器和服务——他们可能错过了补丁或忘记更新内部服务，这将使他们面临风险。”

它在仍然是问题的时候就公开了。 修复Heartbleed并不是简单地翻个开关。公司必须修复他们的系统，然后重新生成加密密钥，并且必须在多个地方进行。“整个过程可能会变得非常棘手，”F-Secure的研究员Timo Hirvonen表示。“对于某些服务，应用补丁可能需要很长时间，有些系统可能永远不会得到修补，有些可能在没有明确通知用户的情况下进行修补。”你可以在 这里 检查哪些仍然存在漏洞。

黑客也在寻找利用仍然开放的漏洞。AlienVault Labs的主任Jaime Blasco表示，他的公司在漏洞公开后开始追踪，并发现使用Heartbleed的攻击数量显著增加。

我们永远无法知道它是如何被使用的。 虽然研究人员最近几天一直在追踪活动，但无法知道在Heartbleed被发现之前的两年里发生了什么。拥有利用该漏洞权限的人可能已经从许多地方反复窃取信息很长时间。似乎没有办法让网站回溯查看它们是否受到影响。Blasco表示，虽然可能没有人检查过这扇特定门的锁，但OpenSSL由于其广泛使用而成为黑客的一个有吸引力的目标，人们多年来一直在对其进行攻击。

它的名字很棒。 Heartbleed听起来就是可怕！这个名字指的是OpenSSL中脆弱的部分——心跳，一系列在设备和网站之间来回发送的通信。约翰霍普金斯大学的密码学家Matthew Green在他的博客上发布了一个完整的 技术描述。“这是一个相对平常的编码错误的结果，”他写道。“而且可以预见，这使得它比所有那些花哨的攻击加起来更具破坏性。”

对于用户来说，反应是熟悉的，但有一个警告。 这再次提醒您，您的密码是脆弱的，您应该定期更改密码，并且不应对所有在线账户使用相同的密码。因为您不知道自己是否受到影响，安全的假设是您已经受到影响。更改您的密码。双重身份验证，即您输入密码以及单独发送给您的一次性代码，可以帮助保护您，如果您的密码被泄露。

匆忙修复问题可能不是答案。如果在您使用的网站尚未安全之前更改密码，您可能会暴露您的新密码。一些专家建议人们暂时完全远离互联网。希尔沃宁有另一个想法：“您可以做的最好的事情可能是将密码更改两次：现在更改它（如果密码已经泄露，可以保护您的帐户），并在服务应用补丁后再次更改它。”