在備受關(guān)注的Heartbleed漏洞被曝光的一個(gè)多月之后，調(diào)查發(fā)現(xiàn)這個(gè)嚴(yán)重的OpenSSL漏洞仍然存在于數(shù)十萬臺(tái)服務(wù)器以及一些SSL端口中，這主要是因?yàn)檎麄€(gè)行業(yè)的響應(yīng)工作不到位。

[[115405]]

這個(gè)Heartbleed漏洞早在2011年12月就被植入了OpenSSL代碼，直到2014年4月初才被發(fā)現(xiàn)，該漏洞是因?yàn)闆]有對(duì)廣泛使用的OpenSSL加密庫中的TLS heartbeat extension處理進(jìn)行漏洞檢查而造成的。

因?yàn)镠eartbleed漏洞，存儲(chǔ)在數(shù)以百萬計(jì)的服務(wù)器和客戶端的內(nèi)存中的敏感數(shù)據(jù)都可能被泄露。并且，雖然沒有證據(jù)表明該漏洞在曝光前被成功利用，或者說，在大多數(shù)情況下該漏洞值得攻擊者進(jìn)行利用，但在過去一個(gè)月中，Heartbleed已經(jīng)被用于真正的攻擊和模擬攻擊中。

然而，盡管信息安全行業(yè)努力宣傳Heartbleed的危害性，該漏洞仍然廣泛存在。上周Errata Security公司首席執(zhí)行官Robert Graham在博客文章中稱，他掃描了互聯(lián)網(wǎng)的端口443，發(fā)現(xiàn)超過30萬臺(tái)系統(tǒng)仍然容易受到Heartbleed的影響，雖然這比他一個(gè)月前估計(jì)的60萬臺(tái)系統(tǒng)減少了一半，但這仍然是一個(gè)龐大的數(shù)據(jù)。Graham指出他并沒有涵蓋其他已知SSL端口(例如SMTP)，另外，這個(gè)月他發(fā)現(xiàn)支持SSL的系統(tǒng)減少了約600萬臺(tái)。

“這些數(shù)字有些奇怪，上個(gè)月，我發(fā)現(xiàn)2800萬臺(tái)系統(tǒng)支持SSL，但這個(gè)月我只看到2200萬臺(tái)系統(tǒng)，”Graham表示，“我懷疑，這次人們檢測(cè)到了我的Heartbleed‘攻擊’，并在我的掃描完成之前屏蔽了我?；蛘?，另外一個(gè)原因可能是，我的ISP(互聯(lián)網(wǎng)服務(wù)供應(yīng)商)可能出現(xiàn)了流量擁塞的情況，從而導(dǎo)致這個(gè)數(shù)字減少。”

令人震驚的是，雖然企業(yè)和用戶都在積極采取措施來緩解Heartbleed，但這個(gè)過程中卻充斥著各種基本錯(cuò)誤。上周，分析公司NetCraft公布了一份調(diào)查結(jié)果顯示，只有14%受該漏洞影響的網(wǎng)站執(zhí)行了完整的三個(gè)步驟來緩解這個(gè)問題：更換其SSL證書、撤銷舊證書以及使用不同的私鑰簽發(fā)新證書。

Netcraft發(fā)現(xiàn)，57%的受影響網(wǎng)站沒有采取任何行動(dòng)來響應(yīng)Heartbleed。另外21%的網(wǎng)站使用新私鑰重新簽發(fā)了證書，但沒有撤銷舊證書。最后的5%使用舊私鑰簽發(fā)新證書，這是一個(gè)嚴(yán)重的錯(cuò)誤，Netcraft發(fā)現(xiàn)某些加拿大政府網(wǎng)站(包括魁北克省汽車保險(xiǎn)局)就犯了這個(gè)錯(cuò)誤，即使在他們受到Heartbleed相關(guān)攻擊之后。

“其網(wǎng)站之一secure.saaq.gouv.qc.ca簽發(fā)了新的證書來響應(yīng)Heartbleed漏洞，以前的漏洞在4月29日被撤銷，”Netcraft表示，“CRL撤銷狀態(tài)列出的原因是‘keyCompromise(密鑰泄露)’，但證書頒發(fā)機(jī)構(gòu)仍然允許使用相同的私鑰來簽發(fā)新證書。這意味著持有被泄露證書的人仍然模擬新證書。”

Heartbleed漏洞的影響范圍不僅限于Web服務(wù)器。工業(yè)控制系統(tǒng)計(jì)算機(jī)應(yīng)急響應(yīng)小組(ICS-CERT)上周發(fā)布了一份公告，警告Heartbleed漏洞存在于Digi International制造的五款產(chǎn)品中，Digi International是機(jī)器對(duì)機(jī)器產(chǎn)品和服務(wù)供應(yīng)商，其產(chǎn)品和服務(wù)廣泛用于很多SCADA和ICS環(huán)境。

加拿大手機(jī)巨頭BlackBerry也被迫更新其多款產(chǎn)品，包括其用于Android和iOS的Blackberry Messenger應(yīng)用、BlackBerry Enterprise Service 10和BlackBerry Link，與蘋果、甲骨文、西門子等供應(yīng)商一樣，該公司已經(jīng)發(fā)布了Heartbleed相關(guān)的安全補(bǔ)丁。

與普通用戶相比，企業(yè)和政府機(jī)構(gòu)的響應(yīng)可以說是快捷和高效的。根據(jù)身份盜竊服務(wù)供應(yīng)商LifeLock公司對(duì)2000名美國成年人的網(wǎng)上調(diào)查顯示，在聽說過Heartbleed的受訪者中，近一半的人還沒有更改其密碼。當(dāng)被問到為什么時(shí)，44%的受訪者表示，他們根本不關(guān)心這個(gè)漏洞帶來的安全隱患，另外12%認(rèn)為更改密碼是“大工程”。

雖然很多最大科技公司最近承諾注資數(shù)百萬來幫助保護(hù)OpenSSL以及其他重要開源項(xiàng)目抵御下一個(gè)Heartbleed，但目前的這個(gè)漏洞顯然還沒有得到控制。本周在卡耐基梅隆軟件工程研究所CERT的問答環(huán)節(jié)中，工作人員Jason McCormick建議受到該漏洞影響的企業(yè)升級(jí)到最新的OpenSSL版本，并進(jìn)行徹底的風(fēng)險(xiǎn)評(píng)估以發(fā)現(xiàn)該問題的嚴(yán)重程度。

“最大的問題是，接下來該怎么做。對(duì)于這個(gè)問題，并沒有放之四海而皆準(zhǔn)的解決方案，企業(yè)將需要根據(jù)自己的風(fēng)險(xiǎn)承受能力和成本來做出決定，”McCormick表示，“所有企業(yè)都應(yīng)該盡快對(duì)易受到Heartbleed影響的聯(lián)網(wǎng)系統(tǒng)重新發(fā)布證書。私鑰材料(可用于解密捕捉數(shù)據(jù)或模擬網(wǎng)站)的潛在泄露讓這個(gè)工作變得尤為重要。”