目前，世界各地的系統(tǒng)管理員們都在爭(zhēng)先恐后地修復(fù)一個(gè)名為“Heartbleed”的OpenSLL漏洞。

與此同時(shí)，證書(shū)經(jīng)銷(xiāo)商們也嚴(yán)陣以待、準(zhǔn)備迎接網(wǎng)絡(luò)管理員們通過(guò)快遞寄回并需要進(jìn)行內(nèi)容更新的證書(shū)。

OpenSSL的歷史可以追溯到Eric Young所打造的SSLeay。雖然來(lái)自美國(guó)約翰霍普金斯大學(xué)的Matthew Green曾經(jīng)將其譏諷為一個(gè)“教你自學(xué)大數(shù)除法”的項(xiàng)目，但我們還記得在Hudson/Young之前、加密算法曾經(jīng)由美國(guó)政府所牢牢控制。

多年的積累加上熟悉的特性使OpenSSL順利走向普及，而我們?nèi)缃癫艅倓偨佑|到其中不為人知的深層漏洞。

舉例來(lái)說(shuō)，家用寬帶調(diào)制解調(diào)器/路由器就是這類(lèi)安全問(wèn)題的典型載體。大家不妨回答以下幾個(gè)問(wèn)題：

1.我們能否輕松判斷自己的路由器是否運(yùn)行著OpenSSL，如果有的話(huà)其運(yùn)行的是哪個(gè)版本?(答案：也許不能。)

2.我們能否輕松將其升級(jí)至安全版本?(答案：除非我們的設(shè)備供應(yīng)商或者互聯(lián)網(wǎng)服務(wù)商為硬件提供對(duì)應(yīng)的固件升級(jí)補(bǔ)丁。)

3.陳舊設(shè)備是否會(huì)得到升級(jí)?(答案：第一，短時(shí)間內(nèi)不會(huì);第二，即使可以、升級(jí)過(guò)程也不可能自動(dòng)進(jìn)行。)

4.我們能為此做些什么?(答案：如果可以的話(huà)，關(guān)閉遠(yuǎn)程管理功能。)

澳大利亞硬件開(kāi)發(fā)商Redfish公司的Justin Clacherty表示，普通終端用戶(hù)幾乎不可能弄清楚某臺(tái)消費(fèi)級(jí)寬帶路由器當(dāng)中所運(yùn)行的軟件版本。

Threat Intelligence公司的Ty Miller也對(duì)此表示贊同，同時(shí)在接受采訪中指出終端用戶(hù)要么學(xué)習(xí)如何通過(guò)接入對(duì)應(yīng)設(shè)備的命令行獲取信息、要么通過(guò)已經(jīng)公開(kāi)的Heartbleed漏洞測(cè)試加以檢查，除此之外毫無(wú)辦法可想。

這種情況導(dǎo)致用戶(hù)的命運(yùn)被徹底把握在供應(yīng)商手中，Clacherty表示：是否存在漏洞完全取決于設(shè)備中采用了哪種嵌入式Linux，因?yàn)檫@將影響到實(shí)際安裝的OpenSSL版本。

Miller指出，目前家用路由器中的信息與商務(wù)環(huán)境同樣敏感，只不過(guò)規(guī)模更小一些：遭到泄露的64KB內(nèi)存數(shù)據(jù)塊仍然有可能包含著用戶(hù)的銀行密碼或者WiFi登陸憑證。

而且即使是“關(guān)閉遠(yuǎn)程管理”的方式也不一定適用于每一位用戶(hù)，因?yàn)槟承┗ヂ?lián)網(wǎng)服務(wù)商并沒(méi)有向客戶(hù)提供該選項(xiàng)。

目前還存在著大量利用OpenSSL進(jìn)行連接保護(hù)的企業(yè)級(jí)產(chǎn)品與服務(wù)，其中包括VPN產(chǎn)品以及郵件服務(wù)器等。

“這項(xiàng)漏洞在未來(lái)十年內(nèi)都將成為揮之不去的陰影，”Miller總結(jié)道。