在一年前的4月7日,OpenSSL发布安全公告报告了新的安全漏洞CVE-2014-0160,被称为“TLS heartbeat read overrun”。当时这个漏洞是Heartbeat SSL漏洞,而很多新闻媒体将其称为Heartbleed(心脏出血)漏洞。
Heartbleed是安全公司Codenomicon提出的名字,他们以笔者从未见过的方式来命名该漏洞,这也成为其他安全厂商纷纷试图效仿的典范。这个Heartbleed有自己的标识,还有容易理解的描述和实际风险。
“心脏出血”带来不可估量的威胁
谷歌安全研究人员Neil Mehta也发现了这个问题,Mehta和Codenomicon都因发现Heartbleed而获得2014年黑帽大会Pwnie大奖。但这个漏洞并不是名字引人注目,它也是个非同一般的安全问题。OpenSSL是广泛部署的开源技术,主要用于端点、移动设备和服务器。OpenSSL的承诺是提供安全套接字层/传输层安全(SSL/TLS)加密库来保护数据传输。Heartbleed的危险在于,SSL/TLS可以被解密,让用户处于危险之中。
如果Heartbleed负责任地向受影响的供应商,并在4月7日公布之前提供补丁,很多围绕Heartbleed的悲剧都可以避免。但问题是有些供应商提前得到了关于Heartbleed的通知,包括谷歌和CloudFlare,而其他供应商则没有。Heartbleed的这种不一致披露过程增加了这个漏洞的威胁性,并且让全球供应商和服务器管理员都疯狂地修复该漏洞以避免漏洞利用。
一般来说,有些漏洞不会被公开利用,但Heartbleed并不是这样。在4月8日,加拿大税务局(CRA)在受到Heartbleed攻击后被迫关闭报税服务。这次攻击事故导致加拿大政府被迫延长报税截止日期,以弥补CRA关闭其网站的时间。
解救“心脏出血”行动
在去年4月16日,加拿大皇家骑警(RCMP)宣布已经逮捕涉嫌参与CRA攻击事件的19岁学生。在2014年4月,修复Heartbleed的总成本可能已经达到5亿美元。虽然我们可能永远无法知道Heartbleed的真正总成本,但这带来了对开源软件安全性进行审查的新时代。
由于OpenSSL是开源的,很多专家很快就批评开源模式是Heartbleed漏洞的核心。对此,在Linux基金会领导下的开源社区凝聚在一起,并推出了核心关键基础设施(CCI)举措。CCI收到了来自Adobe、Bloomberg、惠普、VMware、Rackspace、NetApp、微软、英特尔、IBM、谷歌、富士通、Facebook、戴尔、亚马逊和思科的550万美元以保护开源基础设施和开发工作。CCI现在正向OpenSSL开发人员提供资金以帮助防止另一个Heartbleed漏洞的出现。
一年后的“心脏出血”
在过去一年里,OpenSSL项目本身已经发布了多个安全更新,他们投入更多资源来审查该代码以提高安全性。最新的OpenSSL更新发布于3月19日,提供了12个安全修复。在一年之后,Heartbleed风险仍然存在。在新的报告中,安全供应商Venafi声称,74%的全球2000强企业仍然面临Heartbleed风险。Venafi的数据不只是关于更新了最新OpenSSL的服务器,也是关于替换SSL/TLS证书。
Crowdstrike公司联合创始人兼首席技术官Dmitri Alperovitch表示,虽然推荐企业替换SSL证书,但不替换证书并不一定意味着企业仍易受到Heartbleed攻击。虽然Venafi声称,其调查的大多数网站仍然面临Heartbleed风险,但Qualys赞助的SSL Pulse网站目前报告称只有0.3%的网站目前面临Heartbleed风险。
在Heartbleed出现一年后,它仍然是个问题,因为旧的漏洞从来不会真正死去。Heartbleed仍带来风险是因为有些企业还没有修复该漏洞。惠普的2015年网络风险报告发现,44%的漏洞泄露事故是因为未修复的老漏洞问题。但事实是,修复很困难,但对于Heartbleed等重大漏洞问题,企业其实做了很多修复工作。
Heartbleed并不是历史上最严重的漏洞,它引人注意在于围绕它的各种炒作。它引发了对OpenSSL服务器、台式机和移动应用程序的全球性更新,也让全球大多数互联网用户在一段时间内处于威胁之中。现在,OpenSSL和关键基础设施面临比以往更严格的审查,这是一件好事情。