在一年前的4月7日,OpenSSL發(fā)布安全公告報(bào)告了新的安全漏洞CVE-2014-0160,被稱為“TLS heartbeat read overrun”。當(dāng)時(shí)這個(gè)漏洞是Heartbeat SSL漏洞,而很多新聞媒體將其稱為Heartbleed(心臟出血)漏洞。
Heartbleed是安全公司Codenomicon提出的名字,他們以筆者從未見(jiàn)過(guò)的方式來(lái)命名該漏洞,這也成為其他安全廠商紛紛試圖效仿的典范。這個(gè)Heartbleed有自己的標(biāo)識(shí),還有容易理解的描述和實(shí)際風(fēng)險(xiǎn)。
“心臟出血”帶來(lái)不可估量的威脅
谷歌安全研究人員Neil Mehta也發(fā)現(xiàn)了這個(gè)問(wèn)題,Mehta和Codenomicon都因發(fā)現(xiàn)Heartbleed而獲得2014年黑帽大會(huì)Pwnie大獎(jiǎng)。但這個(gè)漏洞并不是名字引人注目,它也是個(gè)非同一般的安全問(wèn)題。OpenSSL是廣泛部署的開(kāi)源技術(shù),主要用于端點(diǎn)、移動(dòng)設(shè)備和服務(wù)器。OpenSSL的承諾是提供安全套接字層/傳輸層安全(SSL/TLS)加密庫(kù)來(lái)保護(hù)數(shù)據(jù)傳輸。Heartbleed的危險(xiǎn)在于,SSL/TLS可以被解密,讓用戶處于危險(xiǎn)之中。
如果Heartbleed負(fù)責(zé)任地向受影響的供應(yīng)商,并在4月7日公布之前提供補(bǔ)丁,很多圍繞Heartbleed的悲劇都可以避免。但問(wèn)題是有些供應(yīng)商提前得到了關(guān)于Heartbleed的通知,包括谷歌和CloudFlare,而其他供應(yīng)商則沒(méi)有。Heartbleed的這種不一致披露過(guò)程增加了這個(gè)漏洞的威脅性,并且讓全球供應(yīng)商和服務(wù)器管理員都瘋狂地修復(fù)該漏洞以避免漏洞利用。
一般來(lái)說(shuō),有些漏洞不會(huì)被公開(kāi)利用,但Heartbleed并不是這樣。在4月8日,加拿大稅務(wù)局(CRA)在受到Heartbleed攻擊后被迫關(guān)閉報(bào)稅服務(wù)。這次攻擊事故導(dǎo)致加拿大政府被迫延長(zhǎng)報(bào)稅截止日期,以彌補(bǔ)CRA關(guān)閉其網(wǎng)站的時(shí)間。
解救“心臟出血”行動(dòng)
在去年4月16日,加拿大皇家騎警(RCMP)宣布已經(jīng)逮捕涉嫌參與CRA攻擊事件的19歲學(xué)生。在2014年4月,修復(fù)Heartbleed的總成本可能已經(jīng)達(dá)到5億美元。雖然我們可能永遠(yuǎn)無(wú)法知道Heartbleed的真正總成本,但這帶來(lái)了對(duì)開(kāi)源軟件安全性進(jìn)行審查的新時(shí)代。
由于OpenSSL是開(kāi)源的,很多專家很快就批評(píng)開(kāi)源模式是Heartbleed漏洞的核心。對(duì)此,在Linux基金會(huì)領(lǐng)導(dǎo)下的開(kāi)源社區(qū)凝聚在一起,并推出了核心關(guān)鍵基礎(chǔ)設(shè)施(CCI)舉措。CCI收到了來(lái)自Adobe、Bloomberg、惠普、VMware、Rackspace、NetApp、微軟、英特爾、IBM、谷歌、富士通、Facebook、戴爾、亞馬遜和思科的550萬(wàn)美元以保護(hù)開(kāi)源基礎(chǔ)設(shè)施和開(kāi)發(fā)工作。CCI現(xiàn)在正向OpenSSL開(kāi)發(fā)人員提供資金以幫助防止另一個(gè)Heartbleed漏洞的出現(xiàn)。
一年后的“心臟出血”
在過(guò)去一年里,OpenSSL項(xiàng)目本身已經(jīng)發(fā)布了多個(gè)安全更新,他們投入更多資源來(lái)審查該代碼以提高安全性。最新的OpenSSL更新發(fā)布于3月19日,提供了12個(gè)安全修復(fù)。在一年之后,Heartbleed風(fēng)險(xiǎn)仍然存在。在新的報(bào)告中,安全供應(yīng)商Venafi聲稱,74%的全球2000強(qiáng)企業(yè)仍然面臨Heartbleed風(fēng)險(xiǎn)。Venafi的數(shù)據(jù)不只是關(guān)于更新了最新OpenSSL的服務(wù)器,也是關(guān)于替換SSL/TLS證書(shū)。
Crowdstrike公司聯(lián)合創(chuàng)始人兼首席技術(shù)官Dmitri Alperovitch表示,雖然推薦企業(yè)替換SSL證書(shū),但不替換證書(shū)并不一定意味著企業(yè)仍易受到Heartbleed攻擊。雖然Venafi聲稱,其調(diào)查的大多數(shù)網(wǎng)站仍然面臨Heartbleed風(fēng)險(xiǎn),但Qualys贊助的SSL Pulse網(wǎng)站目前報(bào)告稱只有0.3%的網(wǎng)站目前面臨Heartbleed風(fēng)險(xiǎn)。
在Heartbleed出現(xiàn)一年后,它仍然是個(gè)問(wèn)題,因?yàn)榕f的漏洞從來(lái)不會(huì)真正死去。Heartbleed仍帶來(lái)風(fēng)險(xiǎn)是因?yàn)橛行┢髽I(yè)還沒(méi)有修復(fù)該漏洞。惠普的2015年網(wǎng)絡(luò)風(fēng)險(xiǎn)報(bào)告發(fā)現(xiàn),44%的漏洞泄露事故是因?yàn)槲葱迯?fù)的老漏洞問(wèn)題。但事實(shí)是,修復(fù)很困難,但對(duì)于Heartbleed等重大漏洞問(wèn)題,企業(yè)其實(shí)做了很多修復(fù)工作。
Heartbleed并不是歷史上最嚴(yán)重的漏洞,它引人注意在于圍繞它的各種炒作。它引發(fā)了對(duì)OpenSSL服務(wù)器、臺(tái)式機(jī)和移動(dòng)應(yīng)用程序的全球性更新,也讓全球大多數(shù)互聯(lián)網(wǎng)用戶在一段時(shí)間內(nèi)處于威脅之中。現(xiàn)在,OpenSSL和關(guān)鍵基礎(chǔ)設(shè)施面臨比以往更嚴(yán)格的審查,這是一件好事情。
京公網(wǎng)安備 11010502049343號(hào)