许多设备永远都不会修复心脏出血漏洞

本文为作者 Tom Simonite 发表在 TechnologyReview 网站上的《 Many Devices Will Never Be Patched to Fix Heartbleed Bug》一文，主要通过讲述 OpenSSL 漏洞一事提起了许多联网设备因为缺乏必要的安全管理和软件更新，可能永远都无法修复这一安全漏洞，看似不会造成威海，但却存在非常高的安全风险。

本周最受关注的安全问题莫过于 OpenSSL“心脏出血”漏洞，这一漏洞将影响超过 2/3 网站，几乎所有的网民都需要认识到这个问题的严重性，必须要更新自己的网络账号密码。但是许多存在这一漏洞的系统并不在公众视线范围之类，它们也许永远都不会被修复。

此次“出血”的漏洞来自 OpenSSL 协议，这一协议广泛存在于家庭、办公室和企业连接互联网的软件中。这一漏洞将在网络硬件、家庭自动化系统以及关键产业控制系统中继续存在多年，因为这些系统的更新频率非常低。

联网设备一般都会运行这一个简单的网页服务器，它可以让管理员进入网络控制面板。在多数情况下，这些服务器通过 OpenSSL 协议保证安全，但是安全软件公司 Lieberman Software 主席 Philip Lieberman 说，这些软件需要更新。但是许多企业并不会将漏洞更新看作是一件优先级很高的事情。“设备制造商不会为绝大多数设备提供漏洞补丁，有很大数量的补丁需要用户自己去更新。”

Lieberman 说，电视机顶盒和家用路由器将成为最受影响的设备，“ISP 商的网络上现在有百万台有漏洞的设备。”

“心脏出血”漏洞也将影响许多企业的安全。许多企业级的网络设施、产业和商业自动化系统都依赖 OpenSSL，这些设备几乎不会更新。此前有人曾经在网上发起大规模的网络地址扫描，发现了几十万个这样的设备存在各种各样的已知安全漏洞，它们涵盖了 IT 设备、交通控制系统，这些系统的漏洞都没有被修复，更不要说 OpenSSL 的漏洞。

STEALTHbits Technologies 公司策略与调查官 Jonathan Sander 认为，“不像那些有 IT 人员看管的大型服务器，这些存在 OpenSSL 漏洞的联网设备不会引起 IT 人员的注意。OpenSSL 协议就像是一台有缺陷的发动机一样，被安在了所有的汽车、摩托车上。”

很难估计到底有多少联网设备存在“心脏出血”漏洞，因为 OpenSSL 协议已经存在了很多年。安全公司 Rapid7 的安全调查员 Mark Schloesser 说：“所有在 2011 年 12 月到漏洞被爆出这段时间内使用的 OpenSSL 协议版本都存在这一漏洞。”

另一个未知的问题就是，人们还不知道黑客利用“心脏出血”漏洞可以获取多少数据。Schloesser 说，不同的系统可以获取的数据不同。以雅虎的服务器为例，黑客利用“心脏出血”漏洞可以获得用户的密码，而其他企业网站泄露的信息就没有雅虎泄露的有价值。

他还说，“有很多人正尝试用这一漏洞来进行大范围的网络入侵。”他指出自从漏洞爆出之后，网页服务器的登陆日志上能看出活跃度明显增加，有很多人都尝试发现存在安全隐患的系统，网络上也有脚本用来检测网站的漏洞。

Sander 说，许多但一目的的设备，比如说联网调温器，虽然不包含有价值的信息，但却可以让黑客有足够的全力去登陆并控制它，而且只需要一点数据就可以发现使用这个调温器的家庭里是否有人。