在一年前的4月7日，OpenSSL發(fā)布安全公告報告了新的安全漏洞CVE-2014-0160，被稱為“TLS heartbeat read overrun”。當(dāng)時這個漏洞是Heartbeat SSL漏洞，而很多新聞媒體將其稱為Heartbleed(心臟出血)漏洞。

[[133357]]

Heartbleed是安全公司Codenomicon提出的名字，他們以筆者從未見過的方式來命名該漏洞，這也成為其他安全廠商紛紛試圖效仿的典范。這個Heartbleed有自己的標(biāo)識，還有容易理解的描述和實際風(fēng)險。

“心臟出血”帶來不可估量的威脅

谷歌安全研究人員Neil Mehta也發(fā)現(xiàn)了這個問題，Mehta和Codenomicon都因發(fā)現(xiàn)Heartbleed而獲得2014年黑帽大會Pwnie大獎。但這個漏洞并不是名字引人注目，它也是個非同一般的安全問題。OpenSSL是廣泛部署的開源技術(shù)，主要用于端點、移動設(shè)備和服務(wù)器。OpenSSL的承諾是提供安全套接字層/傳輸層安全(SSL/TLS)加密庫來保護數(shù)據(jù)傳輸。Heartbleed的危險在于，SSL/TLS可以被解密，讓用戶處于危險之中。

如果Heartbleed負責(zé)任地向受影響的供應(yīng)商，并在4月7日公布之前提供補丁，很多圍繞Heartbleed的悲劇都可以避免。但問題是有些供應(yīng)商提前得到了關(guān)于Heartbleed的通知，包括谷歌和CloudFlare，而其他供應(yīng)商則沒有。Heartbleed的這種不一致披露過程增加了這個漏洞的威脅性，并且讓全球供應(yīng)商和服務(wù)器管理員都瘋狂地修復(fù)該漏洞以避免漏洞利用。

一般來說，有些漏洞不會被公開利用，但Heartbleed并不是這樣。在4月8日，加拿大稅務(wù)局(CRA)在受到Heartbleed攻擊后被迫關(guān)閉報稅服務(wù)。這次攻擊事故導(dǎo)致加拿大政府被迫延長報稅截止日期，以彌補CRA關(guān)閉其網(wǎng)站的時間。

解救“心臟出血”行動

在去年4月16日，加拿大皇家騎警(RCMP)宣布已經(jīng)逮捕涉嫌參與CRA攻擊事件的19歲學(xué)生。在2014年4月，修復(fù)Heartbleed的總成本可能已經(jīng)達到5億美元。雖然我們可能永遠無法知道Heartbleed的真正總成本，但這帶來了對開源軟件安全性進行審查的新時代。

由于OpenSSL是開源的，很多專家很快就批評開源模式是Heartbleed漏洞的核心。對此，在Linux基金會領(lǐng)導(dǎo)下的開源社區(qū)凝聚在一起，并推出了核心關(guān)鍵基礎(chǔ)設(shè)施(CCI)舉措。CCI收到了來自Adobe、Bloomberg、惠普、VMware、Rackspace、NetApp、微軟、英特爾、IBM、谷歌、富士通、Facebook、戴爾、亞馬遜和思科的550萬美元以保護開源基礎(chǔ)設(shè)施和開發(fā)工作。CCI現(xiàn)在正向OpenSSL開發(fā)人員提供資金以幫助防止另一個Heartbleed漏洞的出現(xiàn)。

一年后的“心臟出血”

在過去一年里，OpenSSL項目本身已經(jīng)發(fā)布了多個安全更新，他們投入更多資源來審查該代碼以提高安全性。最新的OpenSSL更新發(fā)布于3月19日，提供了12個安全修復(fù)。在一年之后，Heartbleed風(fēng)險仍然存在。在新的報告中，安全供應(yīng)商Venafi聲稱，74%的全球2000強企業(yè)仍然面臨Heartbleed風(fēng)險。Venafi的數(shù)據(jù)不只是關(guān)于更新了最新OpenSSL的服務(wù)器，也是關(guān)于替換SSL/TLS證書。

Crowdstrike公司聯(lián)合創(chuàng)始人兼首席技術(shù)官Dmitri Alperovitch表示，雖然推薦企業(yè)替換SSL證書，但不替換證書并不一定意味著企業(yè)仍易受到Heartbleed攻擊。雖然Venafi聲稱，其調(diào)查的大多數(shù)網(wǎng)站仍然面臨Heartbleed風(fēng)險，但Qualys贊助的SSL Pulse網(wǎng)站目前報告稱只有0.3%的網(wǎng)站目前面臨Heartbleed風(fēng)險。

在Heartbleed出現(xiàn)一年后，它仍然是個問題，因為舊的漏洞從來不會真正死去。Heartbleed仍帶來風(fēng)險是因為有些企業(yè)還沒有修復(fù)該漏洞。惠普的2015年網(wǎng)絡(luò)風(fēng)險報告發(fā)現(xiàn)，44%的漏洞泄露事故是因為未修復(fù)的老漏洞問題。但事實是，修復(fù)很困難，但對于Heartbleed等重大漏洞問題，企業(yè)其實做了很多修復(fù)工作。

Heartbleed并不是歷史上最嚴(yán)重的漏洞，它引人注意在于圍繞它的各種炒作。它引發(fā)了對OpenSSL服務(wù)器、臺式機和移動應(yīng)用程序的全球性更新，也讓全球大多數(shù)互聯(lián)網(wǎng)用戶在一段時間內(nèi)處于威脅之中?，F(xiàn)在，OpenSSL和關(guān)鍵基礎(chǔ)設(shè)施面臨比以往更嚴(yán)格的審查，這是一件好事情。