自4月7日以来因OpenSSL“心脏出血”漏洞引起的不安情绪仍在蔓延，安全厂商们的争论仍在继续，这些争论又进一步加剧了不安情绪的蔓延。

SSL是为网络通信提供安全及数据完整性的一种安全协议，此次OpenSSL爆出的漏洞被业内命名为“心脏出血”。此漏洞可以让攻击者获得服务器上64K内存中的数据内容，这部分数据中可能存有安全证书、用户名与密码等数据。

奇虎360副总裁谭晓生接受21世纪经济报道采访时表示，OpenSSL“心脏出血”漏洞是一个分水岭，在木马、流氓软件、钓鱼网站、病毒、漏洞威胁等信息安全威胁中，漏洞将上升为最主要的安全威胁，取代木马与流氓软件。

这是消费者们感知到的变化，而对于信息安全厂商来说，这一变化则是一场挑战：首先是产品模式发生了变化。在病毒时代，产品模式是盒装软件；在流氓软件与木马病毒时代，产品模式是联网云查杀；在漏洞时代，上述模式均将过时。

另一挑战则是商业模式的变化。盒装软件时代的商业模式要么盒装软件售卖模式，要么OEM厂商预装的软件授权模式；在木马时代与流氓软件时代是免费软件，通过免费软件获得用户，拥有海量用户之后，就可以做“流量批发商”。

从这个意义上说，即将上市的金山网络以及市值超过100亿美元的奇虎360都属流量批发商。

而漏洞时代的商业模式是什么？整个安全行业都需要思考这个问题。新的产品模式，新的商业模式，新的恐慌，杀毒厂商需要快速应变才不致落伍。

大恐慌

被命名为“心脏出血”的漏洞，黑客可以获取到以https开头网址的用户登录账号和密码、cookie等敏感数据。

目前多数SSL加密网站都是用名为OpenSSL的开源软件包，这也是互联网应用最广泛的安全传输方法，被广大网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用。据谭晓生说，“这使得很多用户都有可能受到攻击”。

4月9日上午，360网站卫士的OpenSSL漏洞检测平台发现，北京大学和清华大学某项网络服务存在“心脏出血”漏洞，同时也监测到来自北京联通的一个IP针对这些服务进行漏洞探测 ，360紧急通知清华大学和北京大学进行修复。

奇虎360提供的数据显示：360网站安全检测平台对国内120万家经过授权的网站扫描，其中有3万多个网站主机受漏洞影响；4月7日、4月8日期间，共计约2亿网友访问了存在漏洞的网站，超过30%的网站中招。

360已经第一时间向12万网站用户发送提醒邮件，提醒广大站长尽快将OpenSSL升级至 1.0.1g 版本，以修复该漏洞。

根据360的统计与跟踪，尽管OpenSSL“心脏出血”漏洞引起了大面积的恐慌，但目前还没有用户反映受到此次事件的影响。谭晓生说，此次OpenSSL“心脏出血”漏洞事件的影响将会在未来逐渐显现，且会长久持续。

谭晓生说，黑客通过“心脏出血”漏洞窃取数据，以64K为单位，一个包一个包地偷。SSL标准包含一个心跳选项，允许SSL连接一端的电脑发出一条简短的信息，确认另一端的电脑仍然在线，并获取反馈。研究人员发现，可以通过巧妙的手段发出恶意心跳信息，欺骗另一端的电脑泄露机密信息。

黑客拿到这些数据后，需要放在一起进行分析，数据越多，价值越大。因此在短期内，黑客的目的是为了尽可能多地盗取数据，而不是利用已获得的数据。

除了PC网站之外，移动互联网同样广受其害。360尚未统计手机APP受漏洞影响的数量与比例，但谭晓生告诉记者，目前手机APP上使用SSL的比例达到50%。

手机病毒已经成为信息安全的重灾区。国家互联网应急中心（CNCERT）最新出炉的“2013年互联网网络安全报告”显示，去年一年手机病毒增加了3.3倍，达到70.3万个，而与用户经济利益密切相关的恶意扣费类和资费消耗类恶意程序占总数的85%以上，其中针对安卓系统的病毒占到病毒总数的99.5%，一些手机用户下载软件的平台，甚至主流应用市场中都被通报含有病毒应用。

病毒形态的变异

软件漏洞与生俱来，且无法消灭，这使得所有软件使用都将受到这一威胁。

谭晓生解释说：程序中有bug是很正常的，有些程序修改bug到一定程度后就会停止修改，在这软件开发上被称为已经进入“一种动态平衡”状态。在这一状态，改了旧的bug，就会引入新的bug，甚至引入的数量多过修改的数量。

谭晓生打了个比喻：当软件规模达到一定程度时，就会像一个用火柴搭起来的复杂建筑，一碰就会稀里哗啦地倒下，比如微软操作系统。

并不是所有漏洞都会被人发现。谭晓生表示，有些漏洞很快被人发现，有些漏洞可能长期存在，有些漏洞则从生到死都没有被发现。漏洞的危害很大，处理起来也很棘手，就像“心脏出血”一样，如果漏洞不堵，人就会死；但是堵上后会带来怎样的后果，用户也无从得知。

但漏洞必须得堵，因为马上死比慢慢死强得多。谭晓生认为，过去引发信息安全的是病毒、木马、流氓软件、钓鱼网站等问题，未来则来自各种漏洞。

谭晓生说：大家有多少年没碰到病毒了？病毒现在其实更多是一个概念了，木马、钓鱼网址基本绝迹。因为随着云计算技术的发展，杀毒变成了云杀，一个新的病毒、钓鱼网址会很快被发现。

过去一个病毒动辄传染上百万次，现在一个病毒刚刚出现就被消灭了，只能传播几次，或者十几次。导致的结果就是，开发病毒程序的成本不变，但每个病毒程序获得收益却几乎可以忽略不计，这样开发病毒的人自然减少。

对于流氓软件，随着立法的完善，流氓软件的作者会越来越多地承担法律责任，即使现在中国的立法比较滞后，但这方面的立法也会越来越严，包括偷取用户隐私弹出广告等，未来则要承担更多的法律责任，目前也已经大为减少。

未来的攻击会是两类：一类是基于漏洞的攻击，比如OpenSSL就是基于漏洞的攻击，包括微软操作系统、浏览器以及Adobe等应用软件都会被继续发现漏洞，一些使用OpenSSL的基础软件也会有漏洞，这些漏洞会产生大的安全事故。

另一类攻击则是Apt攻击，就是定点的攻击，而不是机关枪扫射式的攻击。这种攻击采用长期潜伏的攻击方式，通常是为了窃取重要的经济信息，获得的利润丰厚，造成的影响也巨大。这是“三年不开张，开张能吃三年”的玩法。

金山网络CEO傅盛出席博鳌亚洲论坛分析病毒行业的变化时说：网络安全由以前的反病毒为核心变为从服务端到客户端，从应用到协议的立体化安全问题。

傅盛说，十多年前电脑联网困难，所以当时的网络安全问题更多表现为本地病毒传播；现在设备联网是前提，所以服务端、web安全都变得更加重要。攻陷一个web服务就可能影响上千万人，对于黑客来说，投入产出比在千万台电脑上传播病毒高多了。事实上，过去一年有大量的密码被扒库的事件发生。

新商业模式

谭晓生说，过去的玩法是薄利多销，抓一只肉鸡最后卖几分钱或几毛钱，一个木马出去抓十万只肉鸡回来，乘以一毛赚一万块钱。现在定点攻击是固定攻击目标，就盯这一个点打，打下来之后把东西偷走，直接变现就是大单。

新威胁带来了大恐慌，谭晓生认为这一背景下的安全产业也将面临挑战。

谭晓生认为，在个人信息安全市场，已经形成免费软件主导的软件模式，经过激烈的市场竞争后，个人信息安全市场的厂商已经形成了资源较为集中的格局。这一市场主要由360、金山网络主导，有很强的资金、技术、人才资源。

企业级安全市场却是一个高度碎片化的市场。以中国为例，目前约有2000多家安全企业，产业销售额约为200亿元，其中最大的安全厂商去年营收约为9.9亿元，不到5%，平均每家企业营收不到1000万元。

而且企业杀毒是典型的“关系型业务”，面对的都是大客户，比如国企、部委，客户关系做下来了，单子也就拿下来了，而不是凭产品拿单。在这样的市场状况下，很多企业在人才、技术、资金方面都不强。

无论病毒、木马时代，还是流氓软件、钓鱼网址时代，需要的是即时快速反应，高度碎片化市场中的“弱公司”可以用态度满足客户的这一需求。

但接下来的情况发生了变化，除了即时快速的反应外，更需要强大的技术实力。因为无论是漏洞攻击，还是Apt攻击，黑客都具有很强的技术实力。如果安全厂商本身实力不够，根本无法阻击进攻。

面对这种高智力的黑客，此前那种靠软件、防火墙的方式已经失效。

未来企业级安全市场的格局会如何？一种是银行、电信这些行业的大公司，他们将建立强大的安全部门，通过云计算、大数据的方式获取来自网络的攻击，并随时对黑客攻击发起有力的反击，以保障业务持续正常的运转。

对于一些无力保护自己的中小型企业，360、金山网络这样的公司将建立公有云，将服务售卖给他们。

新的服务模式也会催生出新的商业模式。在木马、病毒、钓鱼网站时代，那种“流量批发商”的模式仍然适用于个人用户，但对于企业用户来说就不适用了，未来针对这一类客户，将以新的方式赢利，或者是按服务时长收费，或者阻击行为需要的人才、技术、资金投入来收费，或者其他收费模式

近日有研究人员公布，广为流行的网络加密软件OpenSSL存在名为Heartbleed的重大漏洞，人们的账号密码、信用卡号码等个人信息可能会失窃。各大主流网站都在加紧解决这一问题。究竟是什么回事呢?普通网民是否会受到影响呢?国外媒体近日就这类疑问一一进行了详解。

　　何为SSL?

　　SSL是一流行的加密技术，可保护网络用户在互联网上传输的隐私信息。例如，访问诸如Gmail.com的安全网站时，你会看到URL左侧有一绿色的“锁头”图标，它意指你与该网站的通讯受到加密保护。以下是它在谷歌Chrome浏览器上的模样：

　　该锁头表明第三方会无法读取你收发的任何信息。SSL具体是通过将你的数据转变成只有接收方才能破译的加密信息来实现这一点。如果有黑客监听你的对话，他将只能够看到随即字符串，而无法看到你的电邮内容、Facebook帖子、信用卡号码等私密信息。

　　SSL是1994年最先由网景(Netscape)推出，自1990年代以来一直面向各款主流浏览器。近年来，主流的在线服务也都趋向使用该加密技术。目前，谷歌、雅虎和Facebook对于自家的网站和在线服务全都默认使用SSL加密技术。

　　何为Heartbleed漏洞?

　　大多数的SSL加密网站都基于名为OpenSSL的开源软件包。周一，研究人员公布该软件存在一个会致使用户通讯内容泄露的严重漏洞。OpenSSL存在这种漏洞已有约两年时间。

　　具体来说，SSL标准包含heartbeat选项，让SSL连接一端的计算机发出短信息来确认另一台计算机仍处于联网状态并获得回复。研究人员发现，存在发送伪装的恶意heartbeat信息诱使SSL连接另一端的计算机泄露秘密信息的的可能性。也就是说计算机会被诱使传输服务器内存中的内容。

　　漏洞影响很大吗?

　　是的。服务器内存中存储着大量的私密信息。普林斯顿大学计算机科学家艾德·费尔腾(Ed Felten)指出，使用这种技术的攻击者会“通过模式匹配整理那些信息，试图找到密钥、密码以及诸如信用卡号码的个人信息”。

　　账号密码、信用卡号码失窃的严重性无需赘述，而密钥失窃甚至更加严重。密钥是服务器用以译出它所接受的加密信息的工具。如果攻击者获得服务器的私有密钥，那他就能读取任何发送到服务器的信息。他甚至能够利用密钥冒充服务器，诱使用户泄露他们的账号密码和其它的敏感信息。

　　谁发现了漏洞?

　　是Codenomicon和谷歌安全部门(Google Security)的研究人员独立发现的。为了最大限度地降低公布漏洞会带来的损害，研究人员在公布之前先与OpenSSL团队和其它的关键内部人员合作准备好修复方案。

　　哪些人能够利用Heartbleed漏洞?

　　“利用该漏洞对于了解它的人来说并不是很难。”费尔腾透露。利用该漏洞的软件遍布于网络上，虽然该软件没iPad应用那么好用，但任何有编程基础的人都会知道怎么使用。

　　当然，该漏洞也许对于拥有条件大规模拦截用户流量的情报机构而言最具价值。美国国家安全局(NSA)与美国电信服务提供商有秘密协定，它能够接入互联网干线。用户可能会认为Gmail、Facebook等网站上的SSL加密可以保护他们免受监听。但Heartbleed漏洞可让NSA获得破译私密通讯所需的私有密钥。

　　要是NSA已经在公众知晓之前发现Heartbleed漏洞的存在，也不会令人惊讶。鉴于OpenSSL是世界上最流行的加密软件，NSA的安全专家之前很有可能仔细研究过OpenSSL的源代码。

　　有多少网站受到影响?

　　目前还没有准确的数据，不过发现漏洞的研究人员指出，最流行的两家网络服务器Apache 和nginx均使用OpenSSL。二者加起来，共计覆盖约三分之二的网站。SSL还被其它的网络软件所使用，如桌面邮箱客户端和聊天软件。

　　研究人员是在几天前告知OpenSSL团队和其他的关键利益相关者漏洞情况的。因此，OpenSSL能够在将漏洞公诸于众的同时发布OpenSSL软件的修复版本。要消除漏洞，网站只需要确保它们使用的是OpenSSL最新版本。

　　雅虎发言人表示，“我们的团队已经在雅虎的各个主要网站(雅虎主页、雅虎搜索、雅虎邮箱、雅虎财经、雅虎体育、雅虎美食、雅虎科技、Flickr和Tumblr))上成功完成修复，我们正在针对公司旗下其它的网站实施修复。”

　　谷歌称，“我们对SSL漏洞进行了评估，并已修复谷歌的各款主要服务。”Facebook也表示，它在漏洞公布时已经解决好该问题。

　　微软发言人则写道，“我们在跟进OpenSSL库问题的报告。要是确定它有对我们的设备与服务造成影响，我们会采取必要的措施来保护我们的用户。”

　　用户能怎么解决问题?

　　很遗憾，用户要是访问到采用含漏洞OpenSSL软件的网站，他们并不能保护自己。有问题的网站升级OpenSSL软件之后，用户才能够得到保护。

　　不过，受影响的网站修复好OpenSSL软件问题后，用户就可以通过更改自己的密码来保护自己。攻击者之前可能已经截取了用户的密码，费尔腾称用户可能无法判断他们的密码是否失窃。