騰訊科技 木語 4月8日編譯
昨日,全世界IT界都被來自O(shè)penSSL項目的針對名為“心臟流血”(Heartbleed)的開源漏洞的緊急警告震醒,該漏洞可被用于從任何使用OpenSSL協(xié)議的軟件的服務(wù)器上獲取服務(wù)器工作日志,如果不安裝緊急軟件包對該漏洞進行修復(fù),世界范圍內(nèi)數(shù)千萬計的服務(wù)器都處于危險之中。
“心臟流血”這個名字聽起來有點夸張,但這個漏洞的威力似乎當?shù)闷鹚拿帧2还苁菑目赡芨腥镜碾娔X數(shù)量還是從可能被泄露的數(shù)據(jù)規(guī)模,“心臟流血”的破壞力都超過在今年早些時候狠狠羞辱了蘋果公司的“GoToFail ”漏洞。“心臟流血”漏洞可以幫助黑客獲得打開服務(wù)器的密鑰,監(jiān)聽服務(wù)器數(shù)據(jù)和流量。更糟糕的是,這并不是一個新的漏洞, “心臟流血”其實已經(jīng)存在兩年了,但具體何時被人發(fā)現(xiàn)其危險性尚不得而知。
對于不熟悉編程的人來說,OpenSSL可能是個陌生的名字,但是,實際上全世界網(wǎng)站服務(wù)器中有三分之二都是用OpenSSL的軟件,如今所有人都開始急著尋求補救方法,比如深陷其中的雅虎,不少專家建議雅虎用戶,在雅虎更新器服務(wù)器前,清空賬號內(nèi)容以防萬一。除了雅虎,還有眾多中小網(wǎng)站也受到了影響,比如Imgur,F(xiàn)lickr以及LastPass (盡管LastPass 稱并未有未加密的數(shù)據(jù)可能泄露)。
“這是個災(zāi)難性的事件,一個破壞力極強的漏洞,”ICSI的網(wǎng)絡(luò)安全研究員尼古拉斯·韋弗(Nicholas Weaver)表示。
“心臟流血”首先被谷歌(微博)研究員尼爾·梅塔(Neel Mehta)發(fā)現(xiàn),它可從特定服務(wù)器上隨機獲取64k的工作日志,由于數(shù)據(jù)是隨機獲取的,所以攻擊者也不一定可以獲得想要的信息,因此整個過程如同釣魚,攻擊可能一次次持續(xù)進行,大量敏感數(shù)據(jù)可能泄露。由于一臺服務(wù)器的密鑰也記錄在其工作日志中,并且在大量數(shù)據(jù)中可被輕易辨別,因此將是首當其沖的獲取目標,獲取密鑰后,攻擊者可以掌握某網(wǎng)站或服務(wù)的實時流量情況,甚至可以破解被加密的以往流量日志。
對于依賴OpenSSL的加密工具來說,數(shù)據(jù)被泄露將面臨災(zāi)難性的后果,加密社區(qū)Tor Project發(fā)布博客文章警告用戶:“如果你在網(wǎng)上希望匿名或者隱私保護,那么接下來的幾天最好還是完全遠離互聯(lián)網(wǎng)吧。”而且,很多情況下,幾天的時間根本不夠,網(wǎng)站或者服務(wù)提供商需要不少時間將其服務(wù)器升級修復(fù),一旦在這段時間內(nèi)服務(wù)器密鑰被捕獲,攻擊者可能有足夠的時間對網(wǎng)站進行攻擊。網(wǎng)站可以對其密鑰和證書進行重新設(shè)定,但這個過程非常緩慢并且代價昂貴,不少網(wǎng)站可能僅僅選擇對服務(wù)器進行漏洞修復(fù)。上述 ICSI的網(wǎng)絡(luò)安全研究員尼古拉斯·韋弗懷疑,一年后,很多網(wǎng)站的服務(wù)器可能處于非常脆弱的狀態(tài),“問題并沒有徹底解決。”
蘋果、谷歌、微軟似乎暫未中槍,一些網(wǎng)絡(luò)銀行服務(wù)商似乎也沒受到影響,但是一部分雅虎用戶數(shù)據(jù)則在一天之內(nèi)遭到泄露(一名雅虎發(fā)言人稱雅虎主站已經(jīng)得到修復(fù),團隊目前正在修復(fù)其他雅虎網(wǎng)站)。任何采用了使用OpenSSL協(xié)議的Apache或者Nginx軟件都會受到影響,很多不少用戶常用的網(wǎng)站或者服務(wù)都因此中槍。
目前,有幾種方法可以鑒別一個網(wǎng)站是否安全,有一家由開發(fā)者費力坡·瓦索達(Filippo Valsorda)建立的網(wǎng)站提供檢測一家網(wǎng)站是否尚未修復(fù)漏洞的方法,但這家網(wǎng)站并不能提供百分之百準確的鑒定結(jié)果。所有已被修復(fù)的服務(wù)器仍需產(chǎn)生新的SSL證書密鑰保證攻擊者無法利用捕獲的密鑰進行攻擊,因此也可以通過檢測某網(wǎng)站密鑰的產(chǎn)生日期來判斷該網(wǎng)站是否近期被修復(fù)。網(wǎng)站重新設(shè)定密鑰證書需要花費時間和金錢,但是如果不這么做,就很容易被攻擊。
目前來看,這場風(fēng)波會給互聯(lián)網(wǎng)行業(yè)帶來什么樣的影響還很難說,但是一些教訓(xùn)已經(jīng)很明顯。盡管大量的網(wǎng)站使用OpenSSL,這項開源的協(xié)議依然缺乏足夠的資金進行發(fā)展,不少專家已經(jīng)開始號召向OpenSSL項目進行捐錢,避免未來再次出現(xiàn)如同“心臟流血”的漏洞。
但是,“心臟流血”帶來的最重要的教訓(xùn),恐怕是要發(fā)現(xiàn)網(wǎng)站的漏洞和脆弱性有多困難,一旦漏洞出現(xiàn)的后果又有多嚴重,尼古拉斯·韋弗表示“這些漏洞都比較隱秘,如果你進行日志檢查,你有可能發(fā)展,但如果你只是看代碼的話,是無法發(fā)現(xiàn)的。”“所以這次要感謝谷歌,其檢測程序足夠嚴格,發(fā)現(xiàn)了這個漏洞,但是對于任何依賴開源安全軟件的網(wǎng)址來說,都應(yīng)該進行反思。”
注:截止美國東部時間4月8號下午3:54,雅虎發(fā)布聲明稱其團隊已經(jīng)將雅虎主要的網(wǎng)站都進行了修復(fù),包括雅虎主頁、雅虎搜索、雅虎郵箱、雅虎財經(jīng)、雅虎體育、雅虎美食、雅虎科技以及Flickr和Tumblr,其余網(wǎng)站的修復(fù)還在進行中。
