心脏出血漏洞将会波及物联网

心脏出血漏洞将会波及物联网最近，OpenSSL 心脏流血（Heartbleed）漏洞震惊了互联网。要理解这件事的严重性，首先要了解下什么是 OpenSSL。SSL（Secure Sockets Layer ）是一种安全协议，最早由网景公司
提出，目前已经成为互联网上保密通讯的工业标准。OpenSSL 则是许
多网站使用的开源 SSL 包。此次漏洞的波及面非常广，影响到互联网上 2/3 的活跃网站。通过 OpenSSL 1.0.1 版本的漏洞，攻击者可以读取服务器的内存信息，从而获取用户的隐私，比如密钥、密码、信用卡号等。用“心脏流血”为此漏洞命名，
的确是非常准确。在漏洞爆出后，一些更为令人震惊的事实浮出水面：负责 OpenSSL 代码维护的只有四个人，而且只有一个是全职。项目长期处于资金不足的状态。心脏流血漏洞已经存在了两年。美国国家安全局很可能利用这个漏洞监控个人信息。心脏流血漏洞暴露出开源软件的问题。开源软件已经成为支撑网络的重要力量，
但是，只有少数的知名项目享受到巨额的资金支持，其它的许多重要项目存在资金和人手不足的问题。在漏洞爆出之后，微软、Google、Facebook 等科技巨头成立了一个非盈利组织Core Infrastructure Intiative（核心基础设施倡议），其目的是为网络上最重要的项目提供资金支持，保证其能够配备足够的人员。如今，大多
数站点都修补了这个漏洞。根据互联网安全机构Sucrui 的检测，排名前 1000 名的站点，包括 Google、Facebook、Youtube、Pinterest、Wikipedia、Twitter、LinkedIn、Bing，以及其它一些日常使用的站点都已经是安全的了。互联网用户看来可以松口气了。只是，心脏流血漏洞影响的不仅仅是网站，还包括数量广泛的联网设备。在过去的几周里，加州大学的计算机科学家 Nicolas Weaver 和密歇根大学的研究人员对互联网上的设备进行了研究。他们发现，虽然大多数网站已经修补了漏洞，但是大量的联网设备仍是易于攻击的对象，这包括路由器、 防火墙、打印存储服务器等等。“如此多的设备受到影响，真是一件让人不安的事情，” Weaver 对Wired 网站说。Nest 的设备使用了有漏洞的 OpenSSL 版本，不过他们说用户不会受到影响。苹果的一部分 Airport Extreme 路由器以及 Time Capsule 备份也会受到影响。西门子工业控制系统（管理发电厂和废水处理厂的大型机器）也包含这个漏洞。这只是心脏流血漏洞影响的一小部分设备。密歇根大学研究员发现的风险设备有：惠普的打印机、Polycom 视频会议系统、WatchGuard 防火墙、VMWare 系统，Synology 存储服务器。Waver 说，使用 Parallels Plesk Panel 网站托管服务的用户也面临着安全风险，黑客可能利用漏洞控制网站。研究人员在检测中发现，至少有 3 万台 Fortinet 防火墙存在安全漏洞。Nicholas Weaver 还发现了易受攻击的打印机，其中一些是惠普制造的。但是在漏洞爆出三周后，惠普仍然不知道那些打印机是有安全风险的。公司发言人通过邮件说，有小部分打印机受到了影响。好消息是，许多使用 OpenSSL 的设备没有风险，这
是因为它们使用了更老的软件版本，或者是 OpenSSL 没有激活。坏消息是，那些有风险的设备只能通过
手动更新。这意味着用户需要登录系统，更新固件。研究人员
认为，由于数量
众多的设备
都有漏洞，在今后的多年里，这都会是一个让人头痛的安全问题。