騰訊科技 木語 4月8日編譯

昨日，全世界IT界都被來自OpenSSL項目的針對名為“心臟流血”（Heartbleed）的開源漏洞的緊急警告震醒，該漏洞可被用于從任何使用OpenSSL協議的軟件的服務器上獲取服務器工作日志，如果不安裝緊急軟件包對該漏洞進行修復，世界范圍內數千萬計的服務器都處于危險之中。

“心臟流血”這個名字聽起來有點夸張，但這個漏洞的威力似乎當得起它的名字。不管是從可能感染的電腦數量還是從可能被泄露的數據規模，“心臟流血”的破壞力都超過在今年早些時候狠狠羞辱了蘋果公司的“GoToFail ”漏洞。“心臟流血”漏洞可以幫助黑客獲得打開服務器的密鑰，監聽服務器數據和流量。更糟糕的是，這并不是一個新的漏洞， “心臟流血”其實已經存在兩年了，但具體何時被人發現其危險性尚不得而知。

對于不熟悉編程的人來說，OpenSSL可能是個陌生的名字，但是，實際上全世界網站服務器中有三分之二都是用OpenSSL的軟件，如今所有人都開始急著尋求補救方法，比如深陷其中的雅虎，不少專家建議雅虎用戶，在雅虎更新器服務器前，清空賬號內容以防萬一。除了雅虎，還有眾多中小網站也受到了影響，比如Imgur，Flickr以及LastPass （盡管LastPass 稱并未有未加密的數據可能泄露）。

“這是個災難性的事件，一個破壞力極強的漏洞，”ICSI的網絡安全研究員尼古拉斯·韋弗（Nicholas Weaver）表示。

“心臟流血”首先被谷歌(微博)研究員尼爾·梅塔（Neel Mehta）發現，它可從特定服務器上隨機獲取64k的工作日志，由于數據是隨機獲取的，所以攻擊者也不一定可以獲得想要的信息，因此整個過程如同釣魚，攻擊可能一次次持續進行，大量敏感數據可能泄露。由于一臺服務器的密鑰也記錄在其工作日志中，并且在大量數據中可被輕易辨別，因此將是首當其沖的獲取目標，獲取密鑰后，攻擊者可以掌握某網站或服務的實時流量情況，甚至可以破解被加密的以往流量日志。

對于依賴OpenSSL的加密工具來說，數據被泄露將面臨災難性的后果，加密社區Tor Project發布博客文章警告用戶：“如果你在網上希望匿名或者隱私保護，那么接下來的幾天最好還是完全遠離互聯網吧。”而且，很多情況下，幾天的時間根本不夠，網站或者服務提供商需要不少時間將其服務器升級修復，一旦在這段時間內服務器密鑰被捕獲，攻擊者可能有足夠的時間對網站進行攻擊。網站可以對其密鑰和證書進行重新設定，但這個過程非常緩慢并且代價昂貴，不少網站可能僅僅選擇對服務器進行漏洞修復。上述 ICSI的網絡安全研究員尼古拉斯·韋弗懷疑，一年后，很多網站的服務器可能處于非常脆弱的狀態，“問題并沒有徹底解決。”

蘋果、谷歌、微軟似乎暫未中槍，一些網絡銀行服務商似乎也沒受到影響，但是一部分雅虎用戶數據則在一天之內遭到泄露（一名雅虎發言人稱雅虎主站已經得到修復，團隊目前正在修復其他雅虎網站）。任何采用了使用OpenSSL協議的Apache或者Nginx軟件都會受到影響，很多不少用戶常用的網站或者服務都因此中槍。

目前，有幾種方法可以鑒別一個網站是否安全，有一家由開發者費力坡·瓦索達（Filippo Valsorda）建立的網站提供檢測一家網站是否尚未修復漏洞的方法，但這家網站并不能提供百分之百準確的鑒定結果。所有已被修復的服務器仍需產生新的SSL證書密鑰保證攻擊者無法利用捕獲的密鑰進行攻擊，因此也可以通過檢測某網站密鑰的產生日期來判斷該網站是否近期被修復。網站重新設定密鑰證書需要花費時間和金錢，但是如果不這么做，就很容易被攻擊。

目前來看，這場風波會給互聯網行業帶來什么樣的影響還很難說，但是一些教訓已經很明顯。盡管大量的網站使用OpenSSL，這項開源的協議依然缺乏足夠的資金進行發展，不少專家已經開始號召向OpenSSL項目進行捐錢，避免未來再次出現如同“心臟流血”的漏洞。

但是，“心臟流血”帶來的最重要的教訓，恐怕是要發現網站的漏洞和脆弱性有多困難，一旦漏洞出現的后果又有多嚴重，尼古拉斯·韋弗表示“這些漏洞都比較隱秘，如果你進行日志檢查，你有可能發展，但如果你只是看代碼的話，是無法發現的。”“所以這次要感謝谷歌，其檢測程序足夠嚴格，發現了這個漏洞，但是對于任何依賴開源安全軟件的網址來說，都應該進行反思。”

注：截止美國東部時間4月8號下午3:54，雅虎發布聲明稱其團隊已經將雅虎主要的網站都進行了修復，包括雅虎主頁、雅虎搜索、雅虎郵箱、雅虎財經、雅虎體育、雅虎美食、雅虎科技以及Flickr和Tumblr，其余網站的修復還在進行中。