騰訊科技 木語 4月8日編譯

昨日，全世界IT界都被來自O(shè)penSSL項目的針對名為“心臟流血”（Heartbleed）的開源漏洞的緊急警告震醒，該漏洞可被用于從任何使用OpenSSL協(xié)議的軟件的服務(wù)器上獲取服務(wù)器工作日志，如果不安裝緊急軟件包對該漏洞進(jìn)行修復(fù)，世界范圍內(nèi)數(shù)千萬計的服務(wù)器都處于危險之中。

“心臟流血”這個名字聽起來有點夸張，但這個漏洞的威力似乎當(dāng)?shù)闷鹚�的名字。不管是從可能感染的電腦數(shù)量還是從可能被泄露的數(shù)據(jù)規(guī)模，“心臟流血”的破壞力都超過在今年早些時候狠狠羞辱了蘋果公司的“GoToFail ”漏洞�！靶呐K流血”漏洞可以幫助黑客獲得打開服務(wù)器的密鑰，監(jiān)聽服務(wù)器數(shù)據(jù)和流量。更糟糕的是，這并不是一個新的漏洞， “心臟流血”其實已經(jīng)存在兩年了，但具體何時被人發(fā)現(xiàn)其危險性尚不得而知。

對于不熟悉編程的人來說，OpenSSL可能是個陌生的名字，但是，實際上全世界網(wǎng)站服務(wù)器中有三分之二都是用OpenSSL的軟件，如今所有人都開始急著尋求補救方法，比如深陷其中的雅虎，不少專家建議雅虎用戶，在雅虎更新器服務(wù)器前，清空賬號內(nèi)容以防萬一。除了雅虎，還有眾多中小網(wǎng)站也受到了影響，比如Imgur，F(xiàn)lickr以及LastPass （盡管LastPass 稱并未有未加密的數(shù)據(jù)可能泄露）。

“這是個災(zāi)難性的事件，一個破壞力極強的漏洞，”ICSI的網(wǎng)絡(luò)安全研究員尼古拉斯·韋弗（Nicholas Weaver）表示。

“心臟流血”首先被谷歌(微博)研究員尼爾·梅塔（Neel Mehta）發(fā)現(xiàn)，它可從特定服務(wù)器上隨機獲取64k的工作日志，由于數(shù)據(jù)是隨機獲取的，所以攻擊者也不一定可以獲得想要的信息，因此整個過程如同釣魚，攻擊可能一次次持續(xù)進(jìn)行，大量敏感數(shù)據(jù)可能泄露。由于一臺服務(wù)器的密鑰也記錄在其工作日志中，并且在大量數(shù)據(jù)中可被輕易辨別，因此將是首當(dāng)其沖的獲取目標(biāo)，獲取密鑰后，攻擊者可以掌握某網(wǎng)站或服務(wù)的實時流量情況，甚至可以破解被加密的以往流量日志。

對于依賴OpenSSL的加密工具來說，數(shù)據(jù)被泄露將面臨災(zāi)難性的后果，加密社區(qū)Tor Project發(fā)布博客文章警告用戶：“如果你在網(wǎng)上希望匿名或者隱私保護(hù)，那么接下來的幾天最好還是完全遠(yuǎn)離互聯(lián)網(wǎng)吧�！倍�且，很多情況下，幾天的時間根本不夠，網(wǎng)站或者服務(wù)提供商需要不少時間將其服務(wù)器升級修復(fù)，一旦在這段時間內(nèi)服務(wù)器密鑰被捕獲，攻擊者可能有足夠的時間對網(wǎng)站進(jìn)行攻擊。網(wǎng)站可以對其密鑰和證書進(jìn)行重新設(shè)定，但這個過程非常緩慢并且代價昂貴，不少網(wǎng)站可能僅僅選擇對服務(wù)器進(jìn)行漏洞修復(fù)。上述 ICSI的網(wǎng)絡(luò)安全研究員尼古拉斯·韋弗懷疑，一年后，很多網(wǎng)站的服務(wù)器可能處于非常脆弱的狀態(tài)，“問題并沒有徹底解決�！�

蘋果、谷歌、微軟似乎暫未中槍，一些網(wǎng)絡(luò)銀行服務(wù)商似乎也沒受到影響，但是一部分雅虎用戶數(shù)據(jù)則在一天之內(nèi)遭到泄露（一名雅虎發(fā)言人稱雅虎主站已經(jīng)得到修復(fù)，團(tuán)隊目前正在修復(fù)其他雅虎網(wǎng)站）。任何采用了使用OpenSSL協(xié)議的Apache或者Nginx軟件都會受到影響，很多不少用戶常用的網(wǎng)站或者服務(wù)都因此中槍。

目前，有幾種方法可以鑒別一個網(wǎng)站是否安全，有一家由開發(fā)者費力坡·瓦索達(dá)（Filippo Valsorda）建立的網(wǎng)站提供檢測一家網(wǎng)站是否尚未修復(fù)漏洞的方法，但這家網(wǎng)站并不能提供百分之百準(zhǔn)確的鑒定結(jié)果。所有已被修復(fù)的服務(wù)器仍需產(chǎn)生新的SSL證書密鑰保證攻擊者無法利用捕獲的密鑰進(jìn)行攻擊，因此也可以通過檢測某網(wǎng)站密鑰的產(chǎn)生日期來判斷該網(wǎng)站是否近期被修復(fù)。網(wǎng)站重新設(shè)定密鑰證書需要花費時間和金錢，但是如果不這么做，就很容易被攻擊。

目前來看，這場風(fēng)波會給互聯(lián)網(wǎng)行業(yè)帶來什么樣的影響還很難說，但是一些教訓(xùn)已經(jīng)很明顯。盡管大量的網(wǎng)站使用OpenSSL，這項開源的協(xié)議依然缺乏足夠的資金進(jìn)行發(fā)展，不少專家已經(jīng)開始號召向OpenSSL項目進(jìn)行捐錢，避免未來再次出現(xiàn)如同“心臟流血”的漏洞。

但是，“心臟流血”帶來的最重要的教訓(xùn)，恐怕是要發(fā)現(xiàn)網(wǎng)站的漏洞和脆弱性有多困難，一旦漏洞出現(xiàn)的后果又有多嚴(yán)重，尼古拉斯·韋弗表示“這些漏洞都比較隱秘，如果你進(jìn)行日志檢查，你有可能發(fā)展，但如果你只是看代碼的話，是無法發(fā)現(xiàn)的。”“所以這次要感謝谷歌，其檢測程序足夠嚴(yán)格，發(fā)現(xiàn)了這個漏洞，但是對于任何依賴開源安全軟件的網(wǎng)址來說，都應(yīng)該進(jìn)行反思�！�

注：截止美國東部時間4月8號下午3:54，雅虎發(fā)布聲明稱其團(tuán)隊已經(jīng)將雅虎主要的網(wǎng)站都進(jìn)行了修復(fù)，包括雅虎主頁、雅虎搜索、雅虎郵箱、雅虎財經(jīng)、雅虎體育、雅虎美食、雅虎科技以及Flickr和Tumblr，其余網(wǎng)站的修復(fù)還在進(jìn)行中。