在一年前的4月7日,OpenSSL發布安全公告報告了新的安全漏洞CVE-2014-0160,被稱為“TLS heartbeat read overrun”。當時這個漏洞是Heartbeat SSL漏洞,而很多新聞媒體將其稱為Heartbleed(心臟出血)漏洞。
Heartbleed是安全公司Codenomicon提出的名字,他們以筆者從未見過的方式來命名該漏洞,這也成為其他安全廠商紛紛試圖效仿的典范。這個Heartbleed有自己的標識,還有容易理解的描述和實際風險。
“心臟出血”帶來不可估量的威脅
谷歌安全研究人員Neil Mehta也發現了這個問題,Mehta和Codenomicon都因發現Heartbleed而獲得2014年黑帽大會Pwnie大獎。但這個漏洞并不是名字引人注目,它也是個非同一般的安全問題。OpenSSL是廣泛部署的開源技術,主要用于端點、移動設備和服務器。OpenSSL的承諾是提供安全套接字層/傳輸層安全(SSL/TLS)加密庫來保護數據傳輸。Heartbleed的危險在于,SSL/TLS可以被解密,讓用戶處于危險之中。
如果Heartbleed負責任地向受影響的供應商,并在4月7日公布之前提供補丁,很多圍繞Heartbleed的悲劇都可以避免。但問題是有些供應商提前得到了關于Heartbleed的通知,包括谷歌和CloudFlare,而其他供應商則沒有。Heartbleed的這種不一致披露過程增加了這個漏洞的威脅性,并且讓全球供應商和服務器管理員都瘋狂地修復該漏洞以避免漏洞利用。
一般來說,有些漏洞不會被公開利用,但Heartbleed并不是這樣。在4月8日,加拿大稅務局(CRA)在受到Heartbleed攻擊后被迫關閉報稅服務。這次攻擊事故導致加拿大政府被迫延長報稅截止日期,以彌補CRA關閉其網站的時間。
解救“心臟出血”行動
在去年4月16日,加拿大皇家騎警(RCMP)宣布已經逮捕涉嫌參與CRA攻擊事件的19歲學生。在2014年4月,修復Heartbleed的總成本可能已經達到5億美元。雖然我們可能永遠無法知道Heartbleed的真正總成本,但這帶來了對開源軟件安全性進行審查的新時代。
由于OpenSSL是開源的,很多專家很快就批評開源模式是Heartbleed漏洞的核心。對此,在Linux基金會領導下的開源社區凝聚在一起,并推出了核心關鍵基礎設施(CCI)舉措。CCI收到了來自Adobe、Bloomberg、惠普、VMware、Rackspace、NetApp、微軟、英特爾、IBM、谷歌、富士通、Facebook、戴爾、亞馬遜和思科的550萬美元以保護開源基礎設施和開發工作。CCI現在正向OpenSSL開發人員提供資金以幫助防止另一個Heartbleed漏洞的出現。
一年后的“心臟出血”
在過去一年里,OpenSSL項目本身已經發布了多個安全更新,他們投入更多資源來審查該代碼以提高安全性。最新的OpenSSL更新發布于3月19日,提供了12個安全修復。在一年之后,Heartbleed風險仍然存在。在新的報告中,安全供應商Venafi聲稱,74%的全球2000強企業仍然面臨Heartbleed風險。Venafi的數據不只是關于更新了最新OpenSSL的服務器,也是關于替換SSL/TLS證書。
Crowdstrike公司聯合創始人兼首席技術官Dmitri Alperovitch表示,雖然推薦企業替換SSL證書,但不替換證書并不一定意味著企業仍易受到Heartbleed攻擊。雖然Venafi聲稱,其調查的大多數網站仍然面臨Heartbleed風險,但Qualys贊助的SSL Pulse網站目前報告稱只有0.3%的網站目前面臨Heartbleed風險。
在Heartbleed出現一年后,它仍然是個問題,因為舊的漏洞從來不會真正死去。Heartbleed仍帶來風險是因為有些企業還沒有修復該漏洞。惠普的2015年網絡風險報告發現,44%的漏洞泄露事故是因為未修復的老漏洞問題。但事實是,修復很困難,但對于Heartbleed等重大漏洞問題,企業其實做了很多修復工作。
Heartbleed并不是歷史上最嚴重的漏洞,它引人注意在于圍繞它的各種炒作。它引發了對OpenSSL服務器、臺式機和移動應用程序的全球性更新,也讓全球大多數互聯網用戶在一段時間內處于威脅之中。現在,OpenSSL和關鍵基礎設施面臨比以往更嚴格的審查,這是一件好事情。
京公網安備 11010502049343號