一个安全漏洞引发的思考

　　早在4月初，一个信息安全事件就被各大媒体广为报道，这就是被称为“心脏出血”（Heartbleed）的OpenSSL漏洞。就连《华尔街日报》这样的财经媒体，也对其进行了报道并提出防范建议。

　　为什么一个信息安全事件会引起这么多媒体的关注，它的影响究竟是否有那么严重？该事件给我们带来了哪些警示？在信息技术特别是电子商务普及的今天，一个安全漏洞的杀伤力究竟有多大？

　　漏洞缘起

　　事实上，SSL作为互联网上普遍使用的加密协议，被广泛应用在各类网站上，特别是金融、支付、社交网络、邮件登录等需要较高安全级别的互联网应用上。而OpenSSL是开放的、为网络通信提供安全与数据完整性的一种安全协议。只要服从简单的许可协议，任何人或机构都可以免费地获取并且应用于商业、非商业目的。此外，OpenSSL的另一个重要特点是，它完全由世界各地的软件开发志愿者管理着。志愿者通过互联网进行交流、策划和开发OpenSSL工具和相关的文档。

　　在信息化领域，有相当比例的商业和非商业机构会使用开源的产品来降低成本，OpenSSL也不例外。有人估算，大约有三分之二的网站都在使用OpenSSL的加密工具，而加密工具本身出现安全漏洞，后果不堪设想。

　　据天融信的技术专家介绍，“心脏出血”漏洞是在OpenSSL v1.0.1到1.0.1f的版本密码算法库中发现了一个非常严重的bug，即在处理TLS心跳扩展中缺失了边界检查，加密流量的密钥暴露导致了用户的名字、密码和访问的内容可以被攻击者获取。众所周知，Apache 是被广泛使用的、开源的网络服务器架构。由于OpenSSL是Apache 网络服务器的默认安全协议，它在大量的Linux、Unix系统中使用，同时，诸多的电子邮件、即时通信系统也采用OpenSSL加密用户数据通信，这就意味着攻击者可以利用该bug获取大量互联网服务器与用户之间的数字证书私钥，从而获取用户账户密码等敏感数据。

　　“心脏出血”漏洞主要影响的是使用了OpenSSL的网站和邮件服务器系统。如果用户登录存在此漏洞的网站或者系统，都可能被攻击者实时监控并获取用户的账号密码。最典型的攻击场景就是购物网站，利用此漏洞，恶意攻击者可以实时获取到终端访问者在某些https开头网址登录的账号密码，只要用户在登录的同时攻击者也在对相同网址进行监控，用户的账号密码就会有泄露的危险。

　　天融信的技术专家也认为，鉴于“心脏出血”对服务器安全的严重影响，天融信入侵防御系统已于漏洞爆发当日紧急更新了TopIDP，实现了对Open SSL TLS心跳扩展协议远程信息泄露漏洞的防护。用户只要更新规则库，并在TopIDP设备上勾选即可。

　　威胁扩展

　　然而，“心脏出血”漏洞的影响并非只是服务器端这样简单。360网站卫士团队经分析发现，OpenSSL漏洞不仅影响https开头的网址，还影响到间接使用了OpenSSL代码的产品和服务。比如，VPN、邮件系统、FTP工具等产品和服务，甚至其他一些安全设施的源代码都会受到波及。360漏洞研究实验室主任袁仁广表示：“经过OpenSSL源代码分析，我们发现客户端和服务器端对心跳包的处理完全是对等的。”这就意味着，黑客既可以用“客户端打服务器”的方式抓取网站服务器的内存数据，也可以用“服务器打客户端”的方式抓取个人电脑数据。

　　个人电脑遭遇“心脏出血”攻击，其后果不仅是账号密码、登陆认证cookies、密钥等敏感数据被黑客抓取，Windows安全体系也会因此“内伤”被黑客突破，一些原本威胁不大的漏洞结合OpenSSL漏洞会爆发出强大的破坏力，使整个系统被黑客入侵控制。

　　赛门铁克发布的安全报告显示，“心脏出血”不仅会对网页服务器造成威胁，同时还会威胁到其他很多类型的服务器安全，其中包括代理服务器、介质服务器、游戏服务器、数据库服务器、聊天服务器和FTP服务器等。总之，该漏洞可以对几乎所有硬件设备带来安全威胁，例如路由器、程控交换机（商务电话系统）和通过物联网连接的各类设备。

　　此外，安天则认为“心脏出血”漏洞远比想象的严重是因为它已经波及到手机。其实，手机上大量应用也需要账号登录，其登录服务也有很多是基于OpenSSL搭建的。安天旗下AVL移动安全团队在漏洞爆出后迅速对主流手机应用进行了检测，发现这个漏洞影响到了多个应用。除此之外，他们还发现一些手机应用并没有使用加密协议登录，这将给手机用户带来极为严峻的安全风险，因为手机通过Wi-Fi连接互联网的过程中，采用明文传输的账号密码非常容易被攻击者获取。

　　据安天移动安全团队负责人潘宣辰介绍，针对“心脏出血”和其他不使用加密协议登录的手机应用，安天紧急为其手机安全检测分析工具AVL Pro添加了登录漏洞检测插件。该插件可以检测用户手机上的应用是否存在登录安全问题，包括登录入口的漏洞尚未修复、使用明文协议登录认证的问题。用户安装之后，可以看到不同应用是否存在登录验证的风险。

　　威胁泛化的反思

　　电子商务、电子支付等信息技术的应用已经深入到每个人的生活中，而OpenSSL在电子商务、电子支付等互联网领域的广泛应用也许是“心脏出血”被包括财经媒体在内的诸多媒体争相报道，被社会各界广为关注的原因。毕竟，它不像“震网”那样与大多数人遥不可及，也不像“冲击波”那样仅仅影响个人电脑的正常运行。

　　由于人类记忆力的局限，大多数人不可能在自己越来越多的互联网应用上使用不同的账号和密码，而且定期更换，他们通常只使用几个甚至一个账号和密码。如果这些账号和密码被窃，并被攻击者恶意在各大网站枚举尝试，损失可想而知。这正是“心脏出血”的严重威胁所在。而且，与其说是“心脏出血”的威胁严重，倒不如说是广泛的互联网应用的威胁严重。

　　细心的读者可能已经发现了一个非常有意思现象，在这场争相解读“心脏出血”漏洞并推出解决方案的竞赛中，安全厂商分成了两派。一些厂商根据OpenSSL的工作原理，认为“心脏出血”漏洞主要影响到的是使用了OpenSSL协议的服务器，与个人用户的电脑和系统的相关性很小；而另一些厂商则认为，该漏洞的影响范围实际上更为广泛，包括PC、手机甚至物联网连接的各种设备。

　　不过，哪种观点更为契合实际情况可能并不重要。来自360网站安全检测平台对国内120万家经过授权的网站扫描结果显示：4月8日超过1.8万个网站主机存在漏洞，至4月9日下午有漏洞的网站主机数量下降到1.1万个，至4月10日中午，未修复漏洞的网站主机超过5000个。然而到记者截稿时，“心脏出血”漏洞暴发已经过去了十几天，我们尚未获得网站由于“心脏出血”漏洞出现大规模的用户信息泄露的消息。这可能因为众多OpenSSL用户及时更新修补了漏洞，也可能因为众多安全厂商的不懈努力，也可能是因为——它并没有想象中的严重……

　　“这就好比大家都知道GSM通信存在安全隐患，基于GSM的通话可以很容易被监听。但是直至今天，GSM仍然被广泛使用。”WatchGuard中国区市场总监万熠认为，安全问题无处不在，关键是看它是否会造成严重、恶劣的影响。在我们面临广泛的安全威胁的同时，其实攻击者出于利益的考虑，也只会选择成本更低而效果更好的攻击方式和途径。

　　事实上，信息安全问题本质上是一个概率问题，系统漏洞类的信息安全问题亦是如此。系统存在漏洞并不代表系统已经被入侵，当然，系统被入侵也不代表用户就会有所察觉。就像你的家里门没锁并不代表你家中的财物一定会失窃，同时，你家中财物即使失窃，你也并不一定知道。

　　所以，不管“心脏出血”漏洞所带来的安全威胁是否如此严重，也不管“心脏出血”漏洞的影响范围有多大，广大用户首先不要惊慌，但是为了保护自己的财物安全，还是应该时刻保持警惕、锁好门窗甚至定期清点、了解自己的财物状况。当然，打造质量合格的门窗，避免漏洞经常出现、让用户本以为窗户关上了但却没有关上，可能更为重要。

　　这不仅是安全厂商的责任，更是所有IT厂商和信息技术和服务提供商的责任。

　　本报记者 程彦博