應(yīng)對OpenSSL安全漏洞需要多方平衡
4月7日,OpenSSL的1.0.1版本和1.0.2betal版本被發(fā)現(xiàn) 存在安全漏洞“heartbleed”,全球約有500萬服務(wù)器存在安全 威脅,其中包括淘寶、微信、雅虎保存大量用戶信息的站點(diǎn)。 媒體過于專注眼前的用戶信息泄露風(fēng)險(xiǎn),而真正的問題在于漏 洞存在時(shí)間長達(dá)兩年,無法追蹤和估計(jì)這段時(shí)間內(nèi)已經(jīng)產(chǎn)生 的問題。事實(shí)上,此類漏洞的問題難以杜絕。在實(shí)踐中,企 業(yè)和產(chǎn)業(yè)需要在成本、安全性和系統(tǒng)的多樣性上取得平衡。
1漏洞
OpenSSL是一套開放源代碼的SSL安全套件,保障網(wǎng)絡(luò) 通信安全及數(shù)據(jù)完整性,提供基本的傳輸層數(shù)據(jù)加密功能, 由OpenSSL開源社區(qū)項(xiàng)目組進(jìn)行開放和維護(hù)。
具有漏洞的代碼自從2011年12月寫入安全套件,隨 著2012年1月份OpenSSL 1.0.1的發(fā)布,廣泛存在于使用OpenSSL 1.0.1 系列版本(從 1.0.1a 到 1.0.1f)和 OpenSSL 1.0.2betal的站點(diǎn)中。
據(jù)OpenSSL開源社區(qū)項(xiàng)目組的介紹,OpenSSL在使用 "TLS heartbeat extension"的時(shí)候,連接用戶和服務(wù)器的內(nèi)存 中有最多64 Kb的內(nèi)存空間存在信息泄露的風(fēng)險(xiǎn)。
通過讀取這部分內(nèi)存,攻擊者可能直接獲得或者拼湊出 敏感數(shù)據(jù),包括用戶名和密碼、訪問的內(nèi)容和加密流量的密鑰。 該漏洞允許攻擊者竊聽通信,并通過模擬服務(wù)提供者和用戶 盜取數(shù)據(jù);攻擊者還能夠重置有關(guān)用戶或密鑰的信息,對過去 或?qū)淼募用軘?shù)據(jù)進(jìn)行監(jiān)視。
在漏洞被暴露出來的當(dāng)天,OpenSSL開源社區(qū)項(xiàng)目組便 發(fā)布了新版本1.0.1g,修復(fù)了此問題,1.0.2-betal2版本也即將 發(fā)布。
2目前的影響
由于各方行動迅速及漏洞本身的技術(shù)特點(diǎn),自問題暴露 開始,其產(chǎn)生的風(fēng)險(xiǎn)便被迅速控制。
該漏洞使得部署OpenSSL的1.0.1版本的站點(diǎn)存在風(fēng) 險(xiǎn),但并沒有一些媒體所報(bào)道的那么夸張。他們的報(bào)道認(rèn)為, Web服務(wù)器市場占有率達(dá)66%的Apache和Nginx使用了 OpenSSL,所以具有非常大的安全隱患。這并沒有完全反映 英國互聯(lián)網(wǎng)安全服務(wù)企業(yè)Netcraft報(bào)告的內(nèi)容。
Netcraft的報(bào)告指出,這些Apache和Nginx并不是都運(yùn) 行HTTPS服務(wù),也并不都是使用具有安全漏洞的版本。根據(jù) Netcraft公司4月8日的測試,大約17.5%的SSL站點(diǎn)存在漏洞, 即全球大約有50萬網(wǎng)站存在此漏洞。
由于行動迅速,風(fēng)險(xiǎn)被迅速控制。在漏洞被公布的一天 之內(nèi),OpenSSL項(xiàng)目組就給出了新版本,在此之前,很多公 司已經(jīng)自行修復(fù)了這個(gè)漏洞。在最新的1 000個(gè)主要站點(diǎn)安全 新測試中(4月8日,12:00, UTC),有512家沒有采用SSL, 441家采用了 SSL但是沒有受到威脅(包括已經(jīng)做好升級工 作),只有47家還存在安全漏洞,含兩家中國站點(diǎn),這兩家站 點(diǎn)目前(4月9日,3:30, UTC)也已完成漏洞修補(bǔ)。
由于漏洞本身的特點(diǎn),從4月7日問題暴露開始算起,造 成的危險(xiǎn)并不會很大。首先,由于64 Kb可讀取存儲的容量限 制,攻擊者需要時(shí)間和運(yùn)氣來獲得可用的用戶信息,尤其是推 算出像私鑰一類數(shù)據(jù)的可能性并不是很大;第二,一些軟件本 身不使用SSL,比如Chrome和Firefox瀏覽器使用NSS。但是, 由于漏洞時(shí)間較長,目前最大的風(fēng)險(xiǎn)在于此次漏洞暴露之前所 造成的損失尚無法估計(jì)。
3真正的問題
眼前的問題已經(jīng)迅速得到控制,可真正的問題是無法估 計(jì)已經(jīng)產(chǎn)生的問題的大小。漏洞自從2012年隨著1.0.1版本發(fā) 布,已經(jīng)存在兩年,而對內(nèi)存訪問并不會留下日志,沒有多層 監(jiān)控能力的網(wǎng)站根本無法追蹤過去的訪問。
所以,難以估計(jì)有多少站點(diǎn)的已經(jīng)被攻擊,已經(jīng)有多少信 息被泄露,以及目前有多少通信是被監(jiān)控的,也就無法進(jìn)行 有針對性的補(bǔ)救。
4成本安全和系統(tǒng)多樣性
“Heartbleed”漏洞的問題事實(shí)上難以杜絕,企業(yè)和產(chǎn)業(yè) 需要在成本、安全性和系統(tǒng)的多樣性上取得平衡。
開源安全系統(tǒng)由于安全性高、開放和低成本,被很多公 司所采用。開放保證了源代碼可以被很多人檢查,低成本帶來 的大量使用又使得潛在安全問題被及早發(fā)現(xiàn),有利于安全性 持續(xù)提高。
但問題在于,使用量大增加了安全風(fēng)險(xiǎn),這次的“heart bleed”就是一個(gè)典型案例。網(wǎng)站在使用開源系統(tǒng)的時(shí)候,需 要進(jìn)行完善的安全測試和規(guī)劃,在成本和安全性上取得平衡。
從產(chǎn)業(yè)生態(tài)系統(tǒng)來說,多樣性是降低風(fēng)險(xiǎn)的有效途徑。 實(shí)際上,從2001年以來,OpenSSL暴露出過近60次安全漏洞, 只不過這次比較嚴(yán)重。有程序員認(rèn)為,OpenSSL的安全問題 是由OpenSSL使用C語言編寫代碼帶來的。這種更為深層次 的問題實(shí)際上難以解決,企業(yè)層面比較容易的方案是采用復(fù) 合的安全機(jī)制,從產(chǎn)業(yè)層面而言則是要保持安全系統(tǒng)的多樣 性。
20211120_6198f641dc5da__應(yīng)對0 penSS L安全漏洞需要多方平衡