“心脏出血”漏洞主要是OpenSSL的一个漏洞,它可以让精明的攻击者窃听使用OpenSSL的网络、电子邮件和一些VPN通信。这个漏洞已经让公司忙着给服务器打补丁,修改数字加密证书,让用户修改密码。有人说,开源协议的这个缺陷也会影响到路由器甚至移动设备,但谁该为这个缺陷负责呢?
德国软件工程师名叫罗宾Seggelmann明斯特,据报道,德国接受插入负责专家所说的灾难性的错误比例到数以百万计的网站所使用的开源协议OpenSSL和服务器,这让他们窃取数据和密码已经被很多人认为网络犯罪分子和政府情报机构。
安全专家Bruce Schneier在他的博客中写道:“50万个网站都有漏洞,包括我自己的网站。Heartbleed错误漏洞。他将“心脏出血”描述为OpenSSL中的一个“灾难性错误”,因为它“允许互联网上的任何人读取受OpenSSL脆弱版本保护的系统的内存”。他指出,这会危及用于识别服务提供商和加密流量的密钥。“这意味着内存中的任何东西——ssl私钥、用户密钥,任何东西——都是脆弱的。”
+更多关于网络世界足球竞猜app软件:心脏出血漏洞:如何保证你的信息安全|2014年迄今最严重的数据泄露事件(一季度)+
“心脏出血”漏洞是由谷歌和Codenomicon的安全分析师发现的,OpenSSL开源组织在4月7日作为OpenSSL的顾问和OpenSSL开源贡献者Adam Langley和Bodo Miller准备的修复方案公布的。在世界各地,公司和供应商都在忙着给他们的系统打补丁,或者向用户保证他们的服务没有使用OpenSSL。
以微软为例,它发布了一个建议:“微软Azure网站、微软Azure Pack网站和微软Azure Web角色不使用OpenSSL终止SSL连接。”Windows自带名为“安全通道”(又名“SChannel”)的加密组件,不容易受到“心脏出血”漏洞的影响。
但是微软补充说,“然而,如果你使用微软Azure的IaaS来托管linux镜像,那么你应该确保你的OpenSSL实现不会受到攻击。”
推特也表示,它的服务没有受到“心脏出血”的影响。然而,包括雅虎邮箱、雅虎信使等网站都受到了影响。随着有关“心脏出血”病毒的新闻报道不断涌现,公众普遍感到担忧和困惑。人们将这个问题描述为电脑病毒而不是软件缺陷的情况并不少见。
移动安全公司注意安全说它的主要网站没有受到“心脏出血”漏洞的影响,但其他一些面向互联网的基础设施受到了影响。Lookout忙着修补系统和交换数字证书。Lookout还认为,不仅服务器,客户端软件也可能面临“心脏出血”漏洞,包括Android移动设备。
那么谁应该为“心脏出血”的问题负责呢?
塞格尔曼承担了责任他在两年前试图添加新特性时,错误地将该缺陷引入了OpenSSL。一篇文章引用他的话说,他“没有验证一个包含长度的变量”,这个疏忽“虽然微不足道”,却是一个简单的错误。
这个对整个互联网安全造成巨大后果的错误是对开源代码审查过程的控诉吗?对这个问题的回答褒贬不一。
安全情报和研究实验室的高级主管多迪·格伦说:“我们犯了一个错误,然后很快就纠正过来了。”他指出,软件一直都有漏洞。只要有足够的时间、精力和金钱,人们就能发现几乎每一个软件的漏洞。毕竟,人类才是对它进行编码的人。”
但是Glenn表示希望“开源技术应该得到更好的资助。”也许,如果有比现在更多的支持,这个漏洞可能会更早被发现。”
Sonatype的首席执行官韦恩•杰克逊(Wayne Jackson)说,OpenSSL的缺陷是在2012年3月的1.01.1版本中引入的。“这不是任何标准机构的失误,更有可能是一个简单的编码错误,”Jackson说。除此之外,这次事件突出了一个不幸的现实,那就是随着时间的推移,几乎所有的软件都会被发现有缺陷。这花了两年时间才浮出水面,这并不奇怪。”
然而,他指出,“心脏出血”病毒的影响范围确实非常广泛,远远超出了一般报道的范围。
他指出:“OpenSSL嵌入了大量的技术——路由器、wifi、集线器、防火墙、控制系统等等。”这些并不容易,也不经常更新。“这个问题将伴随我们很长、很长一段时间,”他补充道。
Jackson还说,从“心脏出血”漏洞中吸取的教训是,“作为一个行业,我们在软件完整性方面的投资严重不足,而且从安全的角度来看,我们通常忽略了互联网运行所依赖的开源模块。”开源无处不在。它是所有现代软件应用的基础。”
网络犯罪分子或政府间谍机构是否一直在利用“心脏出血”漏洞来窃取数据?
当然,许多人都在想,这些攻击是否利用了新披露的与“心脏出血”漏洞相关的漏洞,因为一些蜜罐被设置来监控互联网并识别实时攻击。许多人怀疑是否有情报机构,比如国家安全局,故意在OpenSSL中插入了big,尽管没有证据证明这一点。像Schneier这样的专家说,这是一个重要的问题,但可能不是心脏出血的情况。
公民自由组织电子前沿基金会(Electronic Frontier Foundation)表示,它担心“黑帽和/或情报机构可能有很长一段时间才知道这次攻击,可以在闲暇时使用它。”
SSH协议的发明人、SSH通信安全公司的CEO和创始人Tatu Ylonen谈到了Heartbleed漏洞漏洞,他说:“攻击者可以使用它来获取网站使用的加密密钥,从而允许攻击者或间谍机构读取所有的通信。”它几乎可以用来获得服务器私钥用于确保服务器和通信,本质上违反证书用于保护网站,进而允许解密过去会话以及执行的中间人攻击(包括银行欺诈和身份盗窃)在大多数情况下。”
Ylonen说,世界上大约有66%的网站运行的软件使用了这个漏洞库,但不知道有多大比例的网站使用了SSL加密。他指出,不仅绝大多数世界上最受欢迎的网站和社交网站都受到了“心脏出血”的影响,“数以千计的商业应用程序都带有易受攻击的OpenSSL库,因此也很容易受到攻击。”
Ylonen说,底线是“企业和供应商因此需要检查他们的软件是否有漏洞,并立即采取适当的纠正措施。”
Ylonen说,如果国际情报机构还没有这样做的话,他们可能会根据这个漏洞例行地记录所有的流量。他补充说,“目前广泛用于系统管理的SSH协议不会受到”Heartbleed漏洞的影响。
Ellen Messmer是IDG网站Network World的高足球竞猜app软件级编辑,她在该网站上报道与信息安全相关的新闻和技术趋势。Twitter: MessmerE。电子邮件:emessmer@nww.com