许多设备永远都不会修复心脏出血漏洞
本文为作者 Tom Simonite 发表在 TechnologyReview 网站上的《 Many Devices Will Never Be Patched to Fix Heartbleed Bug》一文,主要通过讲述 OpenSSL 漏洞一事提起了许多联网设备因为缺乏必要的安全管理和软件更新,可能永远都无法修复这一安全漏洞,看似不会造成威海,但却存在非常高的安全风险。
本周最受关注的安全问题莫过于 OpenSSL“心脏出血”漏洞,这一漏洞将影响超过 2/3 网站,几乎所有的网民都需要认识到这个问题的严重性,必须要更新自己的网络账号密码。但是许多存在这一漏洞的系统并不在公众视线范围之类,它们也许永远都不会被修复。
此次“出血”的漏洞来自 OpenSSL 协议,这一协议广泛存在于家庭、办公室和企业连接互联网的软件中。这一漏洞将在网络硬件、家庭自动化系统以及关键产业控制系统中继续存在多年,因为这些系统的更新频率非常低。
联网设备一般都会运行这一个简单的网页服务器,它可以让管理员进入网络控制面板。在多数情况下,这些服务器通过 OpenSSL 协议保证安全,但是安全软件公司 Lieberman Software 主席 Philip Lieberman 说,这些软件需要更新。但是许多企业并不会将漏洞更新看作是一件优先级很高的事情。“设备制造商不会为绝大多数设备提供漏洞补丁,有很大数量的补丁需要用户自己去更新。”
Lieberman 说,电视机顶盒和家用路由器将成为最受影响的设备,“ISP 商的网络上现在有百万台有漏洞的设备。”
“心脏出血”漏洞也将影响许多企业的安全。许多企业级的网络设施、产业和商业自动化系统都依赖 OpenSSL,这些设备几乎不会更新。此前有人曾经在网上发起大规模的网络地址扫描,发现了几十万个这样的设备存在各种各样的已知安全漏洞,它们涵盖了 IT 设备、交通控制系统,这些系统的漏洞都没有被修复,更不要说 OpenSSL 的漏洞。
STEALTHbits Technologies 公司策略与调查官 Jonathan Sander 认为,“不像那些有 IT 人员看管的大型服务器,这些存在 OpenSSL 漏洞的联网设备不会引起 IT 人员的注意。OpenSSL 协议就像是一台有缺陷的发动机一样,被安在了所有的汽车、摩托车上。”
很难估计到底有多少联网设备存在“心脏出血”漏洞,因为 OpenSSL 协议已经存在了很多年。安全公司 Rapid7 的安全调查员 Mark Schloesser 说:“所有在 2011 年 12 月到漏洞被爆出这段时间内使用的 OpenSSL 协议版本都存在这一漏洞。”
另一个未知的问题就是,人们还不知道黑客利用“心脏出血”漏洞可以获取多少数据。Schloesser 说,不同的系统可以获取的数据不同。以雅虎的服务器为例,黑客利用“心脏出血”漏洞可以获得用户的密码,而其他企业网站泄露的信息就没有雅虎泄露的有价值。
他还说,“有很多人正尝试用这一漏洞来进行大范围的网络入侵。”他指出自从漏洞爆出之后,网页服务器的登陆日志上能看出活跃度明显增加,有很多人都尝试发现存在安全隐患的系统,网络上也有脚本用来检测网站的漏洞。
Sander 说,许多但一目的的设备,比如说联网调温器,虽然不包含有价值的信息,但却可以让黑客有足够的全力去登陆并控制它,而且只需要一点数据就可以发现使用这个调温器的家庭里是否有人。