“心脏出血漏洞”(Heartbleed Bug)基本上是OpenSSL中的一个漏洞,它可以让狡猾的攻击者窃听使用OpenSSL的网络、电子邮件和一些VPN通信。但谁该为开源协议中的这个漏洞负责呢?有人说,这个漏洞也可能影响路由器,甚至移动设备。
据报道,德国明斯特的一位名叫罗宾·塞格尔曼(Robin Seggelmann)的软件工程师已经承担了将专家们称之为灾难性的错误插入OpenSSL开源协议的责任,该协议被数百万网站和服务器使用,许多人认为这些数据和密码已经被网络罪犯和政府情报机构利用。
安全专家布鲁斯·施奈尔(Bruce Schneier)在他的博客中写道:“有50万个网站存在漏洞,包括我自己的网站。Heartbleed错误漏洞.他将“心脏出血”描述为OpenSSL中的“灾难性漏洞”,因为它“允许互联网上的任何人读取OpenSSL脆弱版本所保护的系统的内存”。他指出,它破坏了用于识别服务提供商和加密通信的密钥。“这意味着内存中的任何东西——ssl私钥、用户密钥,任何东西——都是脆弱的。”
+更多关于网络世界有个足球雷竞技app:心脏出血Bug:如何保护你的信息安全|到目前为止,2014年最严重的数据泄露(第一季度)+
“心脏出血”漏洞是由谷歌和Codenomicon公司的安全分析师发现的,OpenSSL开源组织于4月7日将其作为OpenSSL顾问和OpenSSL贡献者Adam Langley和Bodo Miller准备的修复方案公布。世界各地的公司和供应商都在忙着给自己的系统打补丁,或者向用户保证他们的服务没有使用OpenSSL。
例如,微软发布了一个建议,“微软Azure网站、微软Azure Pack网站和微软Azure Web角色不使用OpenSSL来终止SSL连接。”Windows自带自己的加密组件,称为安全通道(又名通道),不容易受到心脏出血漏洞的影响。”
但是微软补充说,“但是,如果你使用微软Azure的IaaS来托管linux映像,那么你应该确保你的OpenSSL实现不会受到攻击。”
Twitter还说,它的服务没有受到“心脏出血”的影响。然而,包括雅虎邮件、雅虎信使和其他网站都受到了影响。随着有关“心脏出血”漏洞的新闻报道铺天盖地,公众普遍感到担忧和困惑,人们将这一问题描述为计算机病毒而不是软件缺陷的情况也并不少见。
移动安全公司注意安全该公司表示,其主要网站没有受到“心脏出血漏洞”的影响,但其他一些面向互联网的基础设施受到了影响。Lookout正忙着修补系统和交换数字证书。Lookout还认为,不仅服务器软件,客户端软件也可能面临“心脏出血”漏洞,包括Android移动设备。
那么谁该为心出血虫负责呢?
塞格曼承担了责任两年前,当他试图添加新特性时,错误地将这个缺陷引入了OpenSSL。一篇文章引用他的话说,他“错过了对包含长度的变量的验证”,这个疏忽“虽然微不足道”,但却是一个简单的错误。
这个对整个互联网安全造成巨大影响的错误是对开源代码审查过程的控诉吗?对这个问题的回答褒贬不一。
“我们犯了一个错误,但很快就纠正了,”安全情报和研究实验室的高级主管多迪·格伦(Dodi Glenn)说。他指出,软件总是有缺陷。“只要有足够的时间、精力和金钱,人们几乎可以在所有软件中找到漏洞。毕竟,人类是编写代码的人。”
但格伦表示希望“开源技术应该得到更好的资助。”也许,如果有比目前更多的支持,这个漏洞可能会更早被发现。”
Sonatype首席执行官韦恩·杰克逊(Wayne Jackson)表示,OpenSSL的漏洞是在2012年3月的1.01.1版本中引入的。“这不是任何标准机构的失败,更有可能是一个简单的编码错误,”Jackson说。“除此之外,这个事件突出了一个不幸的现实,那就是随着时间的推移,几乎所有的软件都会被发现有缺陷。这花了两年时间才浮出水面,这并不罕见。”
然而,他指出,心脏出血漏洞的影响范围确实非常广泛,远远超出了一般报道的范围。
他指出:“OpenSSL嵌入了大量的技术——路由器、wifi、集线器、防火墙、控制系统等等。”这些并不一定是容易的或者经常更新的。“这个问题将伴随我们很长、很长一段时间,”他补充道。
Jackson还从“心脏出血”漏洞中吸取了一个教训:“作为一个行业,我们在软件完整性方面的投资严重不足,从安全的角度来看,我们通常忽视了互联网运行所依赖的开源构建块。”开源无处不在。它是所有现代软件应用的基础。”
网络罪犯或政府间谍机构是否一直在利用“心脏出血漏洞”窃取数据?
当然,许多人都想知道是否正在发生的攻击利用了与Heartbleed Bug相关的新披露的漏洞,因为一些蜜罐被设置来监视互联网并识别实时攻击。许多人怀疑是不是某个情报机构,比如美国国家安全局(National Security agency),故意在OpenSSL中插入了“大”字,尽管没有证据证明这一点。像Schneier这样的专家说,这是一个重要的问题,但可能不是Heartbleed的情况。
公民自由组织电子前沿基金会(Electronic Frontier Foundation)表示,他们担心“blackhat和/或情报机构可能知道这次攻击已有很长一段时间,可以在闲暇时利用它。”
SSH协议的发明者、SSH通信安全公司(SSH Communications Security)的首席执行官和创始人塔图·伊洛宁(Tatu Ylonen)谈到“心脏出血漏洞”时说:“攻击者可以利用它获取网站使用的加密密钥,让攻击者或间谍机构读取所有通信。”它几乎可以用来获得服务器私钥用于确保服务器和通信,本质上违反证书用于保护网站,进而允许解密过去会话以及执行的中间人攻击(包括银行欺诈和身份盗窃)在大多数情况下。”
Ylonen表示,据估计,全球66%的网站运行的软件使用了易受攻击的库,但尚不清楚其中使用SSL加密的比例。他指出,不仅绝大多数世界上最流行的网站和社交网站受到了“心脏出血”的影响,“成千上万的商业应用程序都带有脆弱的OpenSSL库,因此也很脆弱。”
Ylonen说,底线是“企业和供应商因此需要检查他们的软件是否容易受到攻击,并立即采取适当的纠正措施。”
伊洛宁表示,如果国际情报机构还没有这样做的话,他们可能会根据漏洞定期记录所有通信。他补充说,“目前广泛用于系统管理的SSH协议没有受到Heartbleed Bug的影响”。
Ellen Messmer是IDG网站Network World的高有个足球雷竞技app级编辑,主要报道与信息安全相关的新闻和技术趋势。Twitter: MessmerE。电子邮件:emessmer@nww.com