在一年前的4月7日，OpenSSL發(fā)布安全公告報(bào)告了新的安全漏洞CVE-2014-0160，被稱(chēng)為“TLS heartbeat read overrun”。當(dāng)時(shí)這個(gè)漏洞是Heartbeat SSL漏洞，而很多新聞媒體將其稱(chēng)為Heartbleed(心臟出血)漏洞。

[[133357]]

Heartbleed是安全公司Codenomicon提出的名字，他們以筆者從未見(jiàn)過(guò)的方式來(lái)命名該漏洞，這也成為其他安全廠(chǎng)商紛紛試圖效仿的典范。這個(gè)Heartbleed有自己的標(biāo)識(shí)，還有容易理解的描述和實(shí)際風(fēng)險(xiǎn)。

“心臟出血”帶來(lái)不可估量的威脅

谷歌安全研究人員Neil Mehta也發(fā)現(xiàn)了這個(gè)問(wèn)題，Mehta和Codenomicon都因發(fā)現(xiàn)Heartbleed而獲得2014年黑帽大會(huì)Pwnie大獎(jiǎng)。但這個(gè)漏洞并不是名字引人注目，它也是個(gè)非同一般的安全問(wèn)題。OpenSSL是廣泛部署的開(kāi)源技術(shù)，主要用于端點(diǎn)、移動(dòng)設(shè)備和服務(wù)器。OpenSSL的承諾是提供安全套接字層/傳輸層安全(SSL/TLS)加密庫(kù)來(lái)保護(hù)數(shù)據(jù)傳輸。Heartbleed的危險(xiǎn)在于，SSL/TLS可以被解密，讓用戶(hù)處于危險(xiǎn)之中。

如果Heartbleed負(fù)責(zé)任地向受影響的供應(yīng)商，并在4月7日公布之前提供補(bǔ)丁，很多圍繞Heartbleed的悲劇都可以避免。但問(wèn)題是有些供應(yīng)商提前得到了關(guān)于Heartbleed的通知，包括谷歌和CloudFlare，而其他供應(yīng)商則沒(méi)有。Heartbleed的這種不一致披露過(guò)程增加了這個(gè)漏洞的威脅性，并且讓全球供應(yīng)商和服務(wù)器管理員都瘋狂地修復(fù)該漏洞以避免漏洞利用。

一般來(lái)說(shuō)，有些漏洞不會(huì)被公開(kāi)利用，但Heartbleed并不是這樣。在4月8日，加拿大稅務(wù)局(CRA)在受到Heartbleed攻擊后被迫關(guān)閉報(bào)稅服務(wù)。這次攻擊事故導(dǎo)致加拿大政府被迫延長(zhǎng)報(bào)稅截止日期，以彌補(bǔ)CRA關(guān)閉其網(wǎng)站的時(shí)間。

解救“心臟出血”行動(dòng)

在去年4月16日，加拿大皇家騎警(RCMP)宣布已經(jīng)逮捕涉嫌參與CRA攻擊事件的19歲學(xué)生。在2014年4月，修復(fù)Heartbleed的總成本可能已經(jīng)達(dá)到5億美元。雖然我們可能永遠(yuǎn)無(wú)法知道Heartbleed的真正總成本，但這帶來(lái)了對(duì)開(kāi)源軟件安全性進(jìn)行審查的新時(shí)代。

由于OpenSSL是開(kāi)源的，很多專(zhuān)家很快就批評(píng)開(kāi)源模式是Heartbleed漏洞的核心。對(duì)此，在Linux基金會(huì)領(lǐng)導(dǎo)下的開(kāi)源社區(qū)凝聚在一起，并推出了核心關(guān)鍵基礎(chǔ)設(shè)施(CCI)舉措。CCI收到了來(lái)自Adobe、Bloomberg、惠普、VMware、Rackspace、NetApp、微軟、英特爾、IBM、谷歌、富士通、Facebook、戴爾、亞馬遜和思科的550萬(wàn)美元以保護(hù)開(kāi)源基礎(chǔ)設(shè)施和開(kāi)發(fā)工作。CCI現(xiàn)在正向OpenSSL開(kāi)發(fā)人員提供資金以幫助防止另一個(gè)Heartbleed漏洞的出現(xiàn)。

一年后的“心臟出血”

在過(guò)去一年里，OpenSSL項(xiàng)目本身已經(jīng)發(fā)布了多個(gè)安全更新，他們投入更多資源來(lái)審查該代碼以提高安全性。最新的OpenSSL更新發(fā)布于3月19日，提供了12個(gè)安全修復(fù)。在一年之后，Heartbleed風(fēng)險(xiǎn)仍然存在。在新的報(bào)告中，安全供應(yīng)商Venafi聲稱(chēng)，74%的全球2000強(qiáng)企業(yè)仍然面臨Heartbleed風(fēng)險(xiǎn)。Venafi的數(shù)據(jù)不只是關(guān)于更新了最新OpenSSL的服務(wù)器，也是關(guān)于替換SSL/TLS證書(shū)。

Crowdstrike公司聯(lián)合創(chuàng)始人兼首席技術(shù)官Dmitri Alperovitch表示，雖然推薦企業(yè)替換SSL證書(shū)，但不替換證書(shū)并不一定意味著企業(yè)仍易受到Heartbleed攻擊。雖然Venafi聲稱(chēng)，其調(diào)查的大多數(shù)網(wǎng)站仍然面臨Heartbleed風(fēng)險(xiǎn)，但Qualys贊助的SSL Pulse網(wǎng)站目前報(bào)告稱(chēng)只有0.3%的網(wǎng)站目前面臨Heartbleed風(fēng)險(xiǎn)。

在Heartbleed出現(xiàn)一年后，它仍然是個(gè)問(wèn)題，因?yàn)榕f的漏洞從來(lái)不會(huì)真正死去。Heartbleed仍帶來(lái)風(fēng)險(xiǎn)是因?yàn)橛行┢髽I(yè)還沒(méi)有修復(fù)該漏洞?；萜盏?015年網(wǎng)絡(luò)風(fēng)險(xiǎn)報(bào)告發(fā)現(xiàn)，44%的漏洞泄露事故是因?yàn)槲葱迯?fù)的老漏洞問(wèn)題。但事實(shí)是，修復(fù)很困難，但對(duì)于Heartbleed等重大漏洞問(wèn)題，企業(yè)其實(shí)做了很多修復(fù)工作。

Heartbleed并不是歷史上最嚴(yán)重的漏洞，它引人注意在于圍繞它的各種炒作。它引發(fā)了對(duì)OpenSSL服務(wù)器、臺(tái)式機(jī)和移動(dòng)應(yīng)用程序的全球性更新，也讓全球大多數(shù)互聯(lián)網(wǎng)用戶(hù)在一段時(shí)間內(nèi)處于威脅之中?，F(xiàn)在，OpenSSL和關(guān)鍵基礎(chǔ)設(shè)施面臨比以往更嚴(yán)格的審查，這是一件好事情。