OpenSSL 的 Heartbleed 漏洞的影响到底有多大？

OpenSSL 的 Heartbleed 漏洞，我跟你说，那可不是小事，简直是互联网安全领域的一场大地震。 你想啊，我们平时上网，登录邮箱、网上银行、购物网站，是不是都希望自己的信息是安全的？ HTTPS 这个协议，它就像一个穿在信息传输外面的加密外衣，保证别人看不到你传输的内容。而 OpenSSL，就是实现这个加密功能最核心、最普及的软件库之一。

Heartbleed 的问题出在一个叫“心跳扩展”（Heartbeat Extension）的功能上。这个功能本来的目的是为了让服务器和客户端在长时间连接断开之前，能够互相发送一个“我还活着”的小信号，避免连接无故中断。听起来挺无辜的，对吧？但是，因为代码里有一个很愚蠢的疏忽，它在处理这个“心跳”信号时，没有好好检查用户发送过来的“心跳”有多长。

你可以想象一下，你给别人寄一个包裹，你想让对方知道你的包裹有多重，就写一个标签说“这个包裹大概是 50 克”。结果对方收到包裹后，不仔细称重，而是直接把你的标签上的“50 克”当成了包裹的实际重量，然后把这个“50 克”又回传给你。但如果你的包裹实际是 500 克呢？对方就会傻乎乎地认为你真的只有 50 克。

Heartbleed 就是这样。攻击者可以发送一个非常小的“心跳”请求，但告诉服务器说，“我给你发了一个 64KB（大概 65536 个字节）的心跳信息，你快给我回传过来！” 服务器呢，因为它在代码上犯了那个致命的错误，就信了攻击者的话，然后直接把内存里最接近的 64KB 数据（也可能是更多，取决于具体实现）原封不动地打包发回给攻击者。

你可能会问，这有什么？服务器内存里不是都是一些正常的信息吗？ 错就错在这里。服务器内存里，可不是只有无害的数据。你想，服务器在处理各种请求，它需要临时存储用户的用户名、密码、会话 ID（就是你登录后，服务器知道是你，不需要你每次都输入密码的小身份证明）、加密密钥（这是最最最关键的，有了它，攻击者就能解密其他人的通信）、甚至是一些服务器内部的敏感信息。

所以，攻击者通过不断发送这种特制的“心跳”请求，就能像一个钻头一样，一点一点地从服务器的内存里“挖”出这些宝贵的数据。就像打开了一个潘多拉的盒子，而且这个盒子是敞开的，里面装满了各种用户的私密信息。

具体影响有多大？我给你说，那个时候，全球有大约三分之二的网站和网络服务都使用了易受攻击的 OpenSSL 版本。想象一下，你每天用的那些网站，邮箱，社交媒体，网上银行，VPN，甚至是很多硬件设备（比如路由器），都可能在不经意间把你的秘密暴露给了不法分子。

攻击者可以拿到你的登录凭证，然后登录你的账号，做任何他们想做的事情，比如窃取你的邮件，转走你的钱，或者冒充你发表言论。他们还可以拿到服务器的私钥，这意味着他们不仅仅是能偷看你一个人的信息，而是可以冒充那些网站，伪装成它们，然后去拦截其他用户的通信，就像一个窃听器，能够听到你和网站之间所有的对话，而且这段对话是用一个你永远也解不开的密码锁起来的，但是攻击者拿到了万能钥匙。

最恐怖的是，这个漏洞是“无声无息”的。攻击者不是破解了你的密码，也不是绕过了防火墙，他们只是“借用”了服务器内存里的一些数据，而且这个过程根本不会留下任何明显的痕迹。就像有人在你家房子里，只是悄悄地打开一个抽屉，拿走里面的东西，然后又关好抽屉，你根本不知道家里进来过人，也不知道东西被拿走了。

直到这个漏洞被发现，全球的网络安全界才如梦初醒。那段时间，大量的网站都在紧急修复，要求用户修改密码，修改服务器证书。很多用户可能根本不知道发生了什么，只知道被告知要改密码，或者某些服务暂时无法使用。

总之，Heartbleed 漏洞就像是在互联网的“血管”里打了一个洞，让里面最核心、最宝贵的血液（也就是敏感信息）在不知不觉中流失。它暴露了即使是看似最基础、最核心的安全软件，也可能存在着致命的缺陷，也让我们意识到，在信息爆炸的时代，一点点代码的疏忽，都可能引发如此巨大的安全危机。那段日子，真的是人人自危，生怕自己的信息在某个角落被泄露。

可以用十年一遇来形容了，

OpenSSL在Linux和开源领域应用极为广泛，这个漏洞出在SSL这种核心组件上，Dump出来的数据包含身份验证信息的可能性极大，远不是其他漏洞可以比的。

这个漏洞的影响将会极其深远，从短期来看及时更新版本避开有漏洞的OpenSSL版本可以解决问题。但是在这期间泄露的身份验证信息是无法追踪得知的，换言之任何可能曾经存在这个漏洞的系统的所有身份验证信息都有可能已经被泄露。这使得漏洞被修复后将造成严重的安全假象，很可能很多系统的管理员权限和身份验证已经被窃取而不所知。甚至有些密码是无法被简单修改的。

仅仅是修改自己的密码并不能保证绝对的安全，因为谁也不知道你面对的是不是CSDN那种没有节操的用明文保存密码的网站，对于这种网站而言，利用之前因为漏洞流出的系统管理员密码登陆则可以轻松地获取你最新的密码。

这次爆出的这个漏洞的几个特性应该完全可以称之为十年一遇：

广泛性：OpenSSL组件应用范围极其广泛。

核心性：OpenSSL组件主要提供SSL服务，该服务经常用于传输敏感信息例如密码。

不可追踪性：黑客利用此漏洞后不会留下任何痕迹，永远无法知道黑客通过该漏洞获取了什么信息。

易攻击性：HTTPS协议是外层公开协议，没有防火墙或者其他保护措施，任何人都可以随意发动攻击。