騰訊科技 木語(yǔ) 4月8日編譯

昨日，全世界IT界都被來(lái)自O(shè)penSSL項(xiàng)目的針對(duì)名為“心臟流血”（Heartbleed）的開(kāi)源漏洞的緊急警告震醒，該漏洞可被用于從任何使用OpenSSL協(xié)議的軟件的服務(wù)器上獲取服務(wù)器工作日志，如果不安裝緊急軟件包對(duì)該漏洞進(jìn)行修復(fù)，世界范圍內(nèi)數(shù)千萬(wàn)計(jì)的服務(wù)器都處于危險(xiǎn)之中。

“心臟流血”這個(gè)名字聽(tīng)起來(lái)有點(diǎn)夸張，但這個(gè)漏洞的威力似乎當(dāng)?shù)闷鹚�的名字。不管是從可能感染的電腦數(shù)量還是從可能被泄露的數(shù)據(jù)規(guī)模，“心臟流血”的破壞力都超過(guò)在今年早些時(shí)候狠狠羞辱了蘋(píng)果公司的“GoToFail ”漏洞。“心臟流血”漏洞可以幫助黑客獲得打開(kāi)服務(wù)器的密鑰，監(jiān)聽(tīng)服務(wù)器數(shù)據(jù)和流量。更糟糕的是，這并不是一個(gè)新的漏洞， “心臟流血”其實(shí)已經(jīng)存在兩年了，但具體何時(shí)被人發(fā)現(xiàn)其危險(xiǎn)性尚不得而知。

對(duì)于不熟悉編程的人來(lái)說(shuō)，OpenSSL可能是個(gè)陌生的名字，但是，實(shí)際上全世界網(wǎng)站服務(wù)器中有三分之二都是用OpenSSL的軟件，如今所有人都開(kāi)始急著尋求補(bǔ)救方法，比如深陷其中的雅虎，不少專家建議雅虎用戶，在雅虎更新器服務(wù)器前，清空賬號(hào)內(nèi)容以防萬(wàn)一。除了雅虎，還有眾多中小網(wǎng)站也受到了影響，比如Imgur，F(xiàn)lickr以及LastPass （盡管LastPass 稱并未有未加密的數(shù)據(jù)可能泄露）。

“這是個(gè)災(zāi)難性的事件，一個(gè)破壞力極強(qiáng)的漏洞，”ICSI的網(wǎng)絡(luò)安全研究員尼古拉斯·韋弗（Nicholas Weaver）表示。

“心臟流血”首先被谷歌(微博)研究員尼爾·梅塔（Neel Mehta）發(fā)現(xiàn)，它可從特定服務(wù)器上隨機(jī)獲取64k的工作日志，由于數(shù)據(jù)是隨機(jī)獲取的，所以攻擊者也不一定可以獲得想要的信息，因此整個(gè)過(guò)程如同釣魚(yú)，攻擊可能一次次持續(xù)進(jìn)行，大量敏感數(shù)據(jù)可能泄露。由于一臺(tái)服務(wù)器的密鑰也記錄在其工作日志中，并且在大量數(shù)據(jù)中可被輕易辨別，因此將是首當(dāng)其沖的獲取目標(biāo)，獲取密鑰后，攻擊者可以掌握某網(wǎng)站或服務(wù)的實(shí)時(shí)流量情況，甚至可以破解被加密的以往流量日志。

對(duì)于依賴OpenSSL的加密工具來(lái)說(shuō)，數(shù)據(jù)被泄露將面臨災(zāi)難性的后果，加密社區(qū)Tor Project發(fā)布博客文章警告用戶：“如果你在網(wǎng)上希望匿名或者隱私保護(hù)，那么接下來(lái)的幾天最好還是完全遠(yuǎn)離互聯(lián)網(wǎng)吧�！倍�且，很多情況下，幾天的時(shí)間根本不夠，網(wǎng)站或者服務(wù)提供商需要不少時(shí)間將其服務(wù)器升級(jí)修復(fù)，一旦在這段時(shí)間內(nèi)服務(wù)器密鑰被捕獲，攻擊者可能有足夠的時(shí)間對(duì)網(wǎng)站進(jìn)行攻擊。網(wǎng)站可以對(duì)其密鑰和證書(shū)進(jìn)行重新設(shè)定，但這個(gè)過(guò)程非常緩慢并且代價(jià)昂貴，不少網(wǎng)站可能僅僅選擇對(duì)服務(wù)器進(jìn)行漏洞修復(fù)。上述 ICSI的網(wǎng)絡(luò)安全研究員尼古拉斯·韋弗懷疑，一年后，很多網(wǎng)站的服務(wù)器可能處于非常脆弱的狀態(tài)，“問(wèn)題并沒(méi)有徹底解決�！�

蘋(píng)果、谷歌、微軟似乎暫未中槍，一些網(wǎng)絡(luò)銀行服務(wù)商似乎也沒(méi)受到影響，但是一部分雅虎用戶數(shù)據(jù)則在一天之內(nèi)遭到泄露（一名雅虎發(fā)言人稱雅虎主站已經(jīng)得到修復(fù)，團(tuán)隊(duì)目前正在修復(fù)其他雅虎網(wǎng)站）。任何采用了使用OpenSSL協(xié)議的Apache或者Nginx軟件都會(huì)受到影響，很多不少用戶常用的網(wǎng)站或者服務(wù)都因此中槍。

目前，有幾種方法可以鑒別一個(gè)網(wǎng)站是否安全，有一家由開(kāi)發(fā)者費(fèi)力坡·瓦索達(dá)（Filippo Valsorda）建立的網(wǎng)站提供檢測(cè)一家網(wǎng)站是否尚未修復(fù)漏洞的方法，但這家網(wǎng)站并不能提供百分之百準(zhǔn)確的鑒定結(jié)果。所有已被修復(fù)的服務(wù)器仍需產(chǎn)生新的SSL證書(shū)密鑰保證攻擊者無(wú)法利用捕獲的密鑰進(jìn)行攻擊，因此也可以通過(guò)檢測(cè)某網(wǎng)站密鑰的產(chǎn)生日期來(lái)判斷該網(wǎng)站是否近期被修復(fù)。網(wǎng)站重新設(shè)定密鑰證書(shū)需要花費(fèi)時(shí)間和金錢(qián)，但是如果不這么做，就很容易被攻擊。

目前來(lái)看，這場(chǎng)風(fēng)波會(huì)給互聯(lián)網(wǎng)行業(yè)帶來(lái)什么樣的影響還很難說(shuō)，但是一些教訓(xùn)已經(jīng)很明顯。盡管大量的網(wǎng)站使用OpenSSL，這項(xiàng)開(kāi)源的協(xié)議依然缺乏足夠的資金進(jìn)行發(fā)展，不少專家已經(jīng)開(kāi)始號(hào)召向OpenSSL項(xiàng)目進(jìn)行捐錢(qián)，避免未來(lái)再次出現(xiàn)如同“心臟流血”的漏洞。

但是，“心臟流血”帶來(lái)的最重要的教訓(xùn)，恐怕是要發(fā)現(xiàn)網(wǎng)站的漏洞和脆弱性有多困難，一旦漏洞出現(xiàn)的后果又有多嚴(yán)重，尼古拉斯·韋弗表示“這些漏洞都比較隱秘，如果你進(jìn)行日志檢查，你有可能發(fā)展，但如果你只是看代碼的話，是無(wú)法發(fā)現(xiàn)的�！薄八�以這次要感謝谷歌，其檢測(cè)程序足夠嚴(yán)格，發(fā)現(xiàn)了這個(gè)漏洞，但是對(duì)于任何依賴開(kāi)源安全軟件的網(wǎng)址來(lái)說(shuō)，都應(yīng)該進(jìn)行反思�！�

注：截止美國(guó)東部時(shí)間4月8號(hào)下午3:54，雅虎發(fā)布聲明稱其團(tuán)隊(duì)已經(jīng)將雅虎主要的網(wǎng)站都進(jìn)行了修復(fù)，包括雅虎主頁(yè)、雅虎搜索、雅虎郵箱、雅虎財(cái)經(jīng)、雅虎體育、雅虎美食、雅虎科技以及Flickr和Tumblr，其余網(wǎng)站的修復(fù)還在進(jìn)行中。