目前,世界各地的系统管理员们都在争先恐后地修复一个名为“Heartbleed”的OpenSLL漏洞。
与此同时,证书经销商们也严阵以待、准备迎接网络管理员们通过快递寄回并需要进行内容更新的证书。
OpenSSL的历史可以追溯到Eric Young所打造的SSLeay。虽然来自美国约翰霍普金斯大学的Matthew Green曾经将其讥讽为一个“教你自学大数除法”的项目,但我们还记得在Hudson/Young之前、加密算法曾经由美国政府所牢牢控制。
多年的积累加上熟悉的特性使OpenSSL顺利走向普及,而我们如今才刚刚接触到其中不为人知的深层漏洞。
举例来说,家用宽带调制解调器/路由器就是这类安全问题的典型载体。大家不妨回答以下几个问题:
1.我们能否轻松判断自己的路由器是否运行着OpenSSL,如果有的话其运行的是哪个版本?(答案:也许不能。)
2.我们能否轻松将其升级至安全版本?(答案:除非我们的设备供应商或者互联网服务商为硬件提供对应的固件升级补丁。)
3.陈旧设备是否会得到升级?(答案:第一,短时间内不会;第二,即使可以、升级过程也不可能自动进行。)
4.我们能为此做些什么?(答案:如果可以的话,关闭远程管理功能。)
澳大利亚硬件开发商Redfish公司的Justin Clacherty表示,普通终端用户几乎不可能弄清楚某台消费级宽带路由器当中所运行的软件版本。
Threat Intelligence公司的Ty Miller也对此表示赞同,同时在接受采访中指出终端用户要么学习如何通过接入对应设备的命令行获取信息、要么通过已经公开的Heartbleed漏洞测试加以检查,除此之外毫无办法可想。
这种情况导致用户的命运被彻底把握在供应商手中,Clacherty表示:是否存在漏洞完全取决于设备中采用了哪种嵌入式Linux,因为这将影响到实际安装的OpenSSL版本。
Miller指出,目前家用路由器中的信息与商务环境同样敏感,只不过规模更小一些:遭到泄露的64KB内存数据块仍然有可能包含着用户的银行密码或者WiFi登陆凭证。
而且即使是“关闭远程管理”的方式也不一定适用于每一位用户,因为某些互联网服务商并没有向客户提供该选项。
目前还存在着大量利用OpenSSL进行连接保护的企业级产品与服务,其中包括VPN产品以及邮件服务器等。
“这项漏洞在未来十年内都将成为挥之不去的阴影,”Miller总结道。