4月7日，OpenSSL的1.0.1版本和1.0.2betal版本被發(fā)現(xiàn) 存在安全漏洞“heartbleed”，全球約有500萬服務(wù)器存在安全 威脅，其中包括淘寶、微信、雅虎保存大量用戶信息的站點。 媒體過于專注眼前的用戶信息泄露風(fēng)險，而真正的問題在于漏 洞存在時間長達(dá)兩年，無法追蹤和估計這段時間內(nèi)已經(jīng)產(chǎn)生 的問題。事實上，此類漏洞的問題難以杜絕。在實踐中，企 業(yè)和產(chǎn)業(yè)需要在成本、安全性和系統(tǒng)的多樣性上取得平衡。

 1漏洞

OpenSSL是一套開放源代碼的SSL安全套件，保障網(wǎng)絡(luò) 通信安全及數(shù)據(jù)完整性，提供基本的傳輸層數(shù)據(jù)加密功能， 由OpenSSL開源社區(qū)項目組進(jìn)行開放和維護。

具有漏洞的代碼自從2011年12月寫入安全套件，隨 著2012年1月份OpenSSL 1.0.1的發(fā)布，廣泛存在于使用OpenSSL 1.0.1 系列版本（從 1.0.1a 到 1.0.1f）和 OpenSSL 1.0.2betal的站點中。

據(jù)OpenSSL開源社區(qū)項目組的介紹，OpenSSL在使用 "TLS heartbeat extension"的時候，連接用戶和服務(wù)器的內(nèi)存 中有最多64 Kb的內(nèi)存空間存在信息泄露的風(fēng)險。

通過讀取這部分內(nèi)存，攻擊者可能直接獲得或者拼湊出 敏感數(shù)據(jù)，包括用戶名和密碼、訪問的內(nèi)容和加密流量的密鑰。 該漏洞允許攻擊者竊聽通信，并通過模擬服務(wù)提供者和用戶 盜取數(shù)據(jù)；攻擊者還能夠重置有關(guān)用戶或密鑰的信息，對過去 或?qū)淼募用軘?shù)據(jù)進(jìn)行監(jiān)視。

在漏洞被暴露出來的當(dāng)天，OpenSSL開源社區(qū)項目組便 發(fā)布了新版本1.0.1g，修復(fù)了此問題，1.0.2-betal2版本也即將 發(fā)布。

2目前的影響

由于各方行動迅速及漏洞本身的技術(shù)特點，自問題暴露 開始，其產(chǎn)生的風(fēng)險便被迅速控制。

該漏洞使得部署OpenSSL的1.0.1版本的站點存在風(fēng) 險，但并沒有一些媒體所報道的那么夸張。他們的報道認(rèn)為, Web服務(wù)器市場占有率達(dá)66%的Apache和Nginx使用了 OpenSSL,所以具有非常大的安全隱患。這并沒有完全反映 英國互聯(lián)網(wǎng)安全服務(wù)企業(yè)Netcraft報告的內(nèi)容。

Netcraft的報告指出，這些Apache和Nginx并不是都運 行HTTPS服務(wù)，也并不都是使用具有安全漏洞的版本。根據(jù) Netcraft公司4月8日的測試，大約17.5%的SSL站點存在漏洞, 即全球大約有50萬網(wǎng)站存在此漏洞。

由于行動迅速，風(fēng)險被迅速控制。在漏洞被公布的一天 之內(nèi)，OpenSSL項目組就給出了新版本，在此之前，很多公 司已經(jīng)自行修復(fù)了這個漏洞。在最新的1 000個主要站點安全 新測試中（4月8日，12:00, UTC）,有512家沒有采用SSL, 441家采用了 SSL但是沒有受到威脅（包括已經(jīng)做好升級工 作），只有47家還存在安全漏洞，含兩家中國站點，這兩家站 點目前（4月9日，3:30, UTC）也已完成漏洞修補。

由于漏洞本身的特點，從4月7日問題暴露開始算起，造 成的危險并不會很大。首先，由于64 Kb可讀取存儲的容量限 制，攻擊者需要時間和運氣來獲得可用的用戶信息，尤其是推 算出像私鑰一類數(shù)據(jù)的可能性并不是很大；第二，一些軟件本 身不使用SSL,比如Chrome和Firefox瀏覽器使用NSS。但是， 由于漏洞時間較長，目前最大的風(fēng)險在于此次漏洞暴露之前所 造成的損失尚無法估計。

3真正的問題

眼前的問題已經(jīng)迅速得到控制，可真正的問題是無法估 計已經(jīng)產(chǎn)生的問題的大小。漏洞自從2012年隨著1.0.1版本發(fā) 布，已經(jīng)存在兩年，而對內(nèi)存訪問并不會留下日志，沒有多層 監(jiān)控能力的網(wǎng)站根本無法追蹤過去的訪問。

所以，難以估計有多少站點的已經(jīng)被攻擊，已經(jīng)有多少信 息被泄露，以及目前有多少通信是被監(jiān)控的，也就無法進(jìn)行 有針對性的補救。

4成本安全和系統(tǒng)多樣性

“Heartbleed”漏洞的問題事實上難以杜絕，企業(yè)和產(chǎn)業(yè) 需要在成本、安全性和系統(tǒng)的多樣性上取得平衡。

開源安全系統(tǒng)由于安全性高、開放和低成本，被很多公 司所采用。開放保證了源代碼可以被很多人檢查，低成本帶來 的大量使用又使得潛在安全問題被及早發(fā)現(xiàn)，有利于安全性 持續(xù)提高。

但問題在于，使用量大增加了安全風(fēng)險，這次的“heart bleed”就是一個典型案例。網(wǎng)站在使用開源系統(tǒng)的時候，需 要進(jìn)行完善的安全測試和規(guī)劃，在成本和安全性上取得平衡。

從產(chǎn)業(yè)生態(tài)系統(tǒng)來說，多樣性是降低風(fēng)險的有效途徑。 實際上，從2001年以來,OpenSSL暴露出過近60次安全漏洞， 只不過這次比較嚴(yán)重。有程序員認(rèn)為，OpenSSL的安全問題 是由OpenSSL使用C語言編寫代碼帶來的。這種更為深層次 的問題實際上難以解決，企業(yè)層面比較容易的方案是采用復(fù) 合的安全機制，從產(chǎn)業(yè)層面而言則是要保持安全系統(tǒng)的多樣 性。

20211120_6198f641dc5da__應(yīng)對0 penSS L安全漏洞需要多方平衡