4月7日，OpenSSL的1.0.1版本和1.0.2betal版本被發(fā)現(xiàn) 存在安全漏洞“heartbleed”，全球約有500萬服務器存在安全 威脅，其中包括淘寶、微信、雅虎保存大量用戶信息的站點。 媒體過于專注眼前的用戶信息泄露風險，而真正的問題在于漏 洞存在時間長達兩年，無法追蹤和估計這段時間內已經(jīng)產(chǎn)生 的問題。事實上，此類漏洞的問題難以杜絕。在實踐中，企 業(yè)和產(chǎn)業(yè)需要在成本、安全性和系統(tǒng)的多樣性上取得平衡。

 1漏洞

OpenSSL是一套開放源代碼的SSL安全套件，保障網(wǎng)絡 通信安全及數(shù)據(jù)完整性，提供基本的傳輸層數(shù)據(jù)加密功能， 由OpenSSL開源社區(qū)項目組進行開放和維護。

具有漏洞的代碼自從2011年12月寫入安全套件，隨 著2012年1月份OpenSSL 1.0.1的發(fā)布，廣泛存在于使用OpenSSL 1.0.1 系列版本（從 1.0.1a 到 1.0.1f）和 OpenSSL 1.0.2betal的站點中。

據(jù)OpenSSL開源社區(qū)項目組的介紹，OpenSSL在使用 "TLS heartbeat extension"的時候，連接用戶和服務器的內存 中有最多64 Kb的內存空間存在信息泄露的風險。

通過讀取這部分內存，攻擊者可能直接獲得或者拼湊出 敏感數(shù)據(jù)，包括用戶名和密碼、訪問的內容和加密流量的密鑰。 該漏洞允許攻擊者竊聽通信，并通過模擬服務提供者和用戶 盜取數(shù)據(jù)；攻擊者還能夠重置有關用戶或密鑰的信息，對過去 或將來的加密數(shù)據(jù)進行監(jiān)視。

在漏洞被暴露出來的當天，OpenSSL開源社區(qū)項目組便 發(fā)布了新版本1.0.1g，修復了此問題，1.0.2-betal2版本也即將 發(fā)布。

2目前的影響

由于各方行動迅速及漏洞本身的技術特點，自問題暴露 開始，其產(chǎn)生的風險便被迅速控制。

該漏洞使得部署OpenSSL的1.0.1版本的站點存在風 險，但并沒有一些媒體所報道的那么夸張。他們的報道認為, Web服務器市場占有率達66%的Apache和Nginx使用了 OpenSSL,所以具有非常大的安全隱患。這并沒有完全反映 英國互聯(lián)網(wǎng)安全服務企業(yè)Netcraft報告的內容。

Netcraft的報告指出，這些Apache和Nginx并不是都運 行HTTPS服務，也并不都是使用具有安全漏洞的版本。根據(jù) Netcraft公司4月8日的測試，大約17.5%的SSL站點存在漏洞, 即全球大約有50萬網(wǎng)站存在此漏洞。

由于行動迅速，風險被迅速控制。在漏洞被公布的一天 之內，OpenSSL項目組就給出了新版本，在此之前，很多公 司已經(jīng)自行修復了這個漏洞。在最新的1 000個主要站點安全 新測試中（4月8日，12:00, UTC）,有512家沒有采用SSL, 441家采用了 SSL但是沒有受到威脅（包括已經(jīng)做好升級工 作），只有47家還存在安全漏洞，含兩家中國站點，這兩家站 點目前（4月9日，3:30, UTC）也已完成漏洞修補。

由于漏洞本身的特點，從4月7日問題暴露開始算起，造 成的危險并不會很大。首先，由于64 Kb可讀取存儲的容量限 制，攻擊者需要時間和運氣來獲得可用的用戶信息，尤其是推 算出像私鑰一類數(shù)據(jù)的可能性并不是很大；第二，一些軟件本 身不使用SSL,比如Chrome和Firefox瀏覽器使用NSS。但是， 由于漏洞時間較長，目前最大的風險在于此次漏洞暴露之前所 造成的損失尚無法估計。

3真正的問題

眼前的問題已經(jīng)迅速得到控制，可真正的問題是無法估 計已經(jīng)產(chǎn)生的問題的大小。漏洞自從2012年隨著1.0.1版本發(fā) 布，已經(jīng)存在兩年，而對內存訪問并不會留下日志，沒有多層 監(jiān)控能力的網(wǎng)站根本無法追蹤過去的訪問。

所以，難以估計有多少站點的已經(jīng)被攻擊，已經(jīng)有多少信 息被泄露，以及目前有多少通信是被監(jiān)控的，也就無法進行 有針對性的補救。

4成本安全和系統(tǒng)多樣性

“Heartbleed”漏洞的問題事實上難以杜絕，企業(yè)和產(chǎn)業(yè) 需要在成本、安全性和系統(tǒng)的多樣性上取得平衡。

開源安全系統(tǒng)由于安全性高、開放和低成本，被很多公 司所采用。開放保證了源代碼可以被很多人檢查，低成本帶來 的大量使用又使得潛在安全問題被及早發(fā)現(xiàn)，有利于安全性 持續(xù)提高。

但問題在于，使用量大增加了安全風險，這次的“heart bleed”就是一個典型案例。網(wǎng)站在使用開源系統(tǒng)的時候，需 要進行完善的安全測試和規(guī)劃，在成本和安全性上取得平衡。

從產(chǎn)業(yè)生態(tài)系統(tǒng)來說，多樣性是降低風險的有效途徑。 實際上，從2001年以來,OpenSSL暴露出過近60次安全漏洞， 只不過這次比較嚴重。有程序員認為，OpenSSL的安全問題 是由OpenSSL使用C語言編寫代碼帶來的。這種更為深層次 的問題實際上難以解決，企業(yè)層面比較容易的方案是采用復 合的安全機制，從產(chǎn)業(yè)層面而言則是要保持安全系統(tǒng)的多樣 性。

20211120_6198f641dc5da__應對0 penSS L安全漏洞需要多方平衡