最近,OpenSSL 心臟流血(Heartbleed)漏洞震驚了互聯網。要理解這件事的嚴重性,首先要了解下什麼是 OpenSSL。SSL(Secure Sockets Layer )是一種安全協議,最早由網景公司提出,目前已經成爲互聯網上保密通訊的工業標準。OpenSSL 則是許多網站使用的開源 SSL 包。此次漏洞的波及面非常廣,影響到互聯網上 2/3 的活躍網站。
通過 OpenSSL 1.0.1 版本的漏洞,攻擊者可以讀取服務器的內存信息,從而獲取用戶的隱私,比如密鑰、密碼、信用卡號等。用“心臟流血”爲此漏洞命名,的確是非常準確。在漏洞爆出後,一些更爲令人震驚的事實浮出水面:
負責 OpenSSL 代碼維護的只有四個人,而且只有一個是全職。
項目長期處於資金不足的狀態。
心臟流血漏洞已經存在了兩年。
美國國家安全局很可能利用這個漏洞監控個人信息。
心臟流血漏洞暴露出開源軟件的問題。開源軟件已經成爲支撐網絡的重要力量,但是,只有少數的知名項目享受到鉅額的資金支持,其它的許多重要項目存在資金和人手不足的問題。在漏洞爆出之後,微軟、Google、Facebook 等科技巨頭成立了一個非盈利組織 Core Infrastructure Intiative(核心基礎設施倡議),其目的是爲網絡上最重要的項目提供資金支持,保證其能夠配備足夠的人員。
如今,大多數站點都修補了這個漏洞。根據互聯網安全機構 Sucrui 的檢測,排名前 1000 名的站點,包括 Google、Facebook、Youtube、Pinterest、Wikipedia、Twitter、LinkedIn、Bing,以及其它一些日常使用的站點都已經是安全的了。
互聯網用戶看來可以鬆口氣了。只是,心臟流血漏洞影響的不僅僅是網站,還包括數量廣泛的聯網設備。在過去的幾周裏,加州大學的計算機科學家 Nicolas Weaver 和密歇根大學的研究人員對互聯網上的設備進行了研究。他們發現,雖然大多數網站已經修補了漏洞,但是大量的聯網設備仍是易於攻擊的對象,這包括路由器、 防火牆、打印存儲服務器等等。“如此多的設備受到影響,真是一件讓人不安的事情,” Weaver 對 Wired 網站說。
Nest 的設備使用了有漏洞的 OpenSSL 版本,不過他們說用戶不會受到影響。蘋果的一部分 Airport Extreme 路由器以及 Time Capsule 備份也會受到影響。西門子工業控制系統(管理發電廠和廢水處理廠的大型機器)也包含這個漏洞。這只是心臟流血漏洞影響的一小部分設備。
密歇根大學研究員發現的風險設備有:惠普的打印機、Polycom 視頻會議系統、WatchGuard 防火牆、VMWare 系統,Synology 存儲服務器。Waver 說,使用 Parallels Plesk Panel 網站託管服務的用戶也面臨着安全風險,黑客可能利用漏洞控制網站。研究人員在檢測中發現,至少有 3 萬臺 Fortinet 防火牆存在安全漏洞。
Nicholas Weaver 還發現了易受攻擊的打印機,其中一些是惠普製造的。但是在漏洞爆出三週後,惠普仍然不知道那些打印機是有安全風險的。公司發言人通過郵件說,有小部分打印機受到了影響。
好消息是,許多使用 OpenSSL 的設備沒有風險,這是因爲它們使用了更老的軟件版本,或者是 OpenSSL 沒有激活。壞消息是,那些有風險的設備只能通過手動更新。這意味着用戶需要登錄系統,更新固件。研究人員認爲,由於數量衆多的設備都有漏洞,在今後的多年裏,這都會是一個讓人頭痛的安全問題。
【敬請添加微信公衆號:數據堂 微信號:datatang】