应对OpenSSL安全漏洞需要多方平衡

时间：2021-11-20 21:21:46

关键字： OpenSSL 安全漏洞影响与平衡

手机看文章

扫描二维码
随时随地手机看文章

[导读]摘要：OpenSSL的1.0.1版本和1.0.2betal版本被发现存在安全漏洞“heartbleed"。事实上，全球约有500万服务器存在安全威胁，面对难以杜绝的安全漏洞，企业和产业需要的是在成本、安全性和系统的多样性上取得平衡。

4月7日，OpenSSL的1.0.1版本和1.0.2betal版本被发现存在安全漏洞“heartbleed”，全球约有500万服务器存在安全威胁，其中包括淘宝、微信、雅虎保存大量用户信息的站点。媒体过于专注眼前的用户信息泄露风险，而真正的问题在于漏洞存在时间长达两年，无法追踪和估计这段时间内已经产生的问题。事实上，此类漏洞的问题难以杜绝。在实践中，企业和产业需要在成本、安全性和系统的多样性上取得平衡。

1漏洞

OpenSSL是一套开放源代码的SSL安全套件，保障网络通信安全及数据完整性，提供基本的传输层数据加密功能，由OpenSSL开源社区项目组进行开放和维护。

具有漏洞的代码自从2011年12月写入安全套件，随着2012年1月份OpenSSL 1.0.1的发布，广泛存在于使用OpenSSL 1.0.1 系列版本（从 1.0.1a 到 1.0.1f）和 OpenSSL 1.0.2betal的站点中。

据OpenSSL开源社区项目组的介绍，OpenSSL在使用 "TLS heartbeat extension"的时候，连接用户和服务器的内存中有最多64 Kb的内存空间存在信息泄露的风险。

通过读取这部分内存，攻击者可能直接获得或者拼凑出敏感数据，包括用户名和密码、访问的内容和加密流量的密钥。该漏洞允许攻击者窃听通信，并通过模拟服务提供者和用户盗取数据；攻击者还能够重置有关用户或密钥的信息，对过去或将来的加密数据进行监视。

在漏洞被暴露出来的当天，OpenSSL开源社区项目组便发布了新版本1.0.1g，修复了此问题，1.0.2-betal2版本也即将发布。

2目前的影响

由于各方行动迅速及漏洞本身的技术特点，自问题暴露开始，其产生的风险便被迅速控制。

该漏洞使得部署OpenSSL的1.0.1版本的站点存在风险，但并没有一些媒体所报道的那么夸张。他们的报道认为, Web服务器市场占有率达66%的Apache和Nginx使用了 OpenSSL,所以具有非常大的安全隐患。这并没有完全反映英国互联网安全服务企业Netcraft报告的内容。

Netcraft的报告指出，这些Apache和Nginx并不是都运行HTTPS服务，也并不都是使用具有安全漏洞的版本。根据 Netcraft公司4月8日的测试，大约17.5%的SSL站点存在漏洞, 即全球大约有50万网站存在此漏洞。

由于行动迅速，风险被迅速控制。在漏洞被公布的一天之内，OpenSSL项目组就给出了新版本，在此之前，很多公司已经自行修复了这个漏洞。在最新的1 000个主要站点安全新测试中（4月8日，12:00, UTC）,有512家没有采用SSL, 441家采用了 SSL但是没有受到威胁（包括已经做好升级工作），只有47家还存在安全漏洞，含两家中国站点，这两家站点目前（4月9日，3:30, UTC）也已完成漏洞修补。

由于漏洞本身的特点，从4月7日问题暴露开始算起，造成的危险并不会很大。首先，由于64 Kb可读取存储的容量限制，攻击者需要时间和运气来获得可用的用户信息，尤其是推算出像私钥一类数据的可能性并不是很大；第二，一些软件本身不使用SSL,比如Chrome和Firefox浏览器使用NSS。但是，由于漏洞时间较长，目前最大的风险在于此次漏洞暴露之前所造成的损失尚无法估计。

3真正的问题

眼前的问题已经迅速得到控制，可真正的问题是无法估计已经产生的问题的大小。漏洞自从2012年随着1.0.1版本发布，已经存在两年，而对内存访问并不会留下日志，没有多层监控能力的网站根本无法追踪过去的访问。

所以，难以估计有多少站点的已经被攻击，已经有多少信息被泄露，以及目前有多少通信是被监控的，也就无法进行有针对性的补救。

4成本安全和系统多样性

“Heartbleed”漏洞的问题事实上难以杜绝，企业和产业需要在成本、安全性和系统的多样性上取得平衡。

开源安全系统由于安全性高、开放和低成本，被很多公司所采用。开放保证了源代码可以被很多人检查，低成本带来的大量使用又使得潜在安全问题被及早发现，有利于安全性持续提高。

但问题在于，使用量大增加了安全风险，这次的“heart bleed”就是一个典型案例。网站在使用开源系统的时候，需要进行完善的安全测试和规划，在成本和安全性上取得平衡。

从产业生态系统来说，多样性是降低风险的有效途径。实际上，从2001年以来,OpenSSL暴露出过近60次安全漏洞，只不过这次比较严重。有程序员认为，OpenSSL的安全问题是由OpenSSL使用C语言编写代码带来的。这种更为深层次的问题实际上难以解决，企业层面比较容易的方案是采用复合的安全机制，从产业层面而言则是要保持安全系统的多样性。

20211120_6198f641dc5da__应对0 penSS L安全漏洞需要多方平衡