开发者社区> 云栖大讲堂> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

“心脏出血”一年后:给安全界的转变

简介:
+关注继续查看

在一年前的4月7日,OpenSSL发布安全公告报告了新的安全漏洞CVE-2014-0160,被称为“TLS heartbeat read overrun”。当时这个漏洞是Heartbeat SSL漏洞,而很多新闻媒体将其称为Heartbleed(心脏出血)漏洞。

心脏出血一年后:给安全界的转变

Heartbleed是安全公司Codenomicon提出的名字,他们以笔者从未见过的方式来命名该漏洞,这也成为其他安全厂商纷纷试图效仿的典范。这个Heartbleed有自己的标识,还有容易理解的描述和实际风险。

“心脏出血”带来不可估量的威胁

谷歌安全研究人员Neil Mehta也发现了这个问题,Mehta和Codenomicon都因发现Heartbleed而获得2014年黑帽大会Pwnie大奖。但这个漏洞并不是名字引人注目,它也是个非同一般的安全问题。OpenSSL是广泛部署的开源技术,主要用于端点、移动设备和服务器。OpenSSL的承诺是提供安全套接字层/传输层安全(SSL/TLS)加密库来保护数据传输。Heartbleed的危险在于,SSL/TLS可以被解密,让用户处于危险之中。

如果Heartbleed负责任地向受影响的供应商,并在4月7日公布之前提供补丁,很多围绕Heartbleed的悲剧都可以避免。但问题是有些供应商提前得到了关于Heartbleed的通知,包括谷歌和CloudFlare,而其他供应商则没有。Heartbleed的这种不一致披露过程增加了这个漏洞的威胁性,并且让全球供应商和服务器管理员都疯狂地修复该漏洞以避免漏洞利用。

一般来说,有些漏洞不会被公开利用,但Heartbleed并不是这样。在4月8日,加拿大税务局(CRA)在受到Heartbleed攻击后被迫关闭报税服务。这次攻击事故导致加拿大政府被迫延长报税截止日期,以弥补CRA关闭其网站的时间。

解救“心脏出血”行动

在去年4月16日,加拿大皇家骑警(RCMP)宣布已经逮捕涉嫌参与CRA攻击事件的19岁学生。在2014年4月,修复Heartbleed的总成本可能已经达到5亿美元。虽然我们可能永远无法知道Heartbleed的真正总成本,但这带来了对开源软件安全性进行审查的新时代。

由于OpenSSL是开源的,很多专家很快就批评开源模式是Heartbleed漏洞的核心。对此,在Linux基金会领导下的开源社区凝聚在一起,并推出了核心关键基础设施(CCI)举措。CCI收到了来自Adobe、Bloomberg、惠普、VMware、Rackspace、NetApp、微软、英特尔、IBM、谷歌、富士通、Facebook、戴尔、亚马逊和思科的550万美元以保护开源基础设施和开发工作。CCI现在正向OpenSSL开发人员提供资金以帮助防止另一个Heartbleed漏洞的出现。

一年后的“心脏出血”

在过去一年里,OpenSSL项目本身已经发布了多个安全更新,他们投入更多资源来审查该代码以提高安全性。最新的OpenSSL更新发布于3月19日,提供了12个安全修复。在一年之后,Heartbleed风险仍然存在。在新的报告中,安全供应商Venafi声称,74%的全球2000强企业仍然面临Heartbleed风险。Venafi的数据不只是关于更新了最新OpenSSL的服务器,也是关于替换SSL/TLS证书。

Crowdstrike公司联合创始人兼首席技术官Dmitri Alperovitch表示,虽然推荐企业替换SSL证书,但不替换证书并不一定意味着企业仍易受到Heartbleed攻击。虽然Venafi声称,其调查的大多数网站仍然面临Heartbleed风险,但Qualys赞助的SSL Pulse网站目前报告称只有0.3%的网站目前面临Heartbleed风险。

在Heartbleed出现一年后,它仍然是个问题,因为旧的漏洞从来不会真正死去。Heartbleed仍带来风险是因为有些企业还没有修复该漏洞。惠普的2015年网络风险报告发现,44%的漏洞泄露事故是因为未修复的老漏洞问题。但事实是,修复很困难,但对于Heartbleed等重大漏洞问题,企业其实做了很多修复工作。

Heartbleed并不是历史上最严重的漏洞,它引人注意在于围绕它的各种炒作。它引发了对OpenSSL服务器、台式机和移动应用程序的全球性更新,也让全球大多数互联网用户在一段时间内处于威胁之中。现在,OpenSSL和关键基础设施面临比以往更严格的审查,这是一件好事情。


作者:蓝雨泪

来源:51CTO

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
List 转 Map, 齐活!(一)
大家好,我是指北君。 在我们平时的工作中,充满了各种类型之间的转换。今天指北君带大家上手 List 转 Map 的各种操作。 我们将假设 List 中的每个元素都有一个标识符,该标识符将在生成的 Map 中作为一个键使用。
33 0
宁波:预计减负超60亿,宁波出台18条措施帮扶中小企业渡难关
宁波是制造业大市,这次疫情给不少中小企业造成了不小的影响。在今天的全省疫情防控工作新闻发布会上,宁波发布18条意见,帮扶中小企业共渡难关。
268 0
电子校园卡接入方案
电子校园卡接入方案会给出一个电子校园卡从整体架构到接入细节的逐步细化的方案。合作伙伴或者学校根据里面的内容逐步理解为什么电子校园卡是这样接入,学校与isv需要做什么,开发者可以根据接入流程向导,逐步按照功能模块完成接入。
399 0
[Erlang 0121] 当我们谈论Erlang Maps时,我们谈论什么 Part 3
Erlang/OTP 17.0 has been released  http://www.erlang.org/download/otp_src_17.0.readme     Erlang/OTP 17.
1390 0
JMX 的理解
Web应用系统总算开发了,接下来该如何让客户(Web应用系统的管理员)轻松管理我的一堆配置文件,或者如何实现动态修改系统运行属性,同时又让客户不需要过多的了解配置文件的内容就能够实现这些管理呢?这是许多刚刚结束Web应用系统前期开发的系统分析人员需要面临的问题。
1064 0
jhost邀请码
邀请码:20110405191727_060320,有效期至2011-04-05 19:17:27。
771 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
3913
文章
1754
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载