全球近期被一個新鮮的詞組——“心臟出血”(Heartbleed)折騰得心驚肉跳、寢食難安,因為這個名詞,幾乎顛覆了互聯網世界一切既定秩序。然而,與以往不同,“心臟出血”既不是什么兇猛的病毒,也不是什么叵測的密碼,而只是一個程序上的漏洞,且這個漏洞很可能并非出于蓄意破壞,而只是一次陰差陽錯的疏忽所致。
2010年底,開源加密庫OpenSSL程序員、德國人羅賓·賽格爾曼提交了一份例行程序代碼升級方案,由于時值新年假期前夕,賽格爾曼本人和審查者斯蒂芬·亨森鬼使神差地均未發現其中包含一個致命的程序漏洞,這個漏洞一旦更新成為O penSSL代碼的一部分,就可能賦予這一加密庫一個危險破綻,有經驗的黑客可借此讀取網絡服務器內存,從而訪問并竊取最敏感、最核心的用戶數據。由于OpenSSL本身的用途,正是為網站數據加密并提供隱私保護,通俗地說,就是網絡安全的“密碼鎖”,“心臟出血”恰恰讓這把“密碼鎖”的密碼鑰匙被公然掛在客廳里,后果可想而知。
4月3日,谷歌工程師尼爾·梅塔首先發現了“心臟出血”漏洞,隨后計算機安全公司Codenomicon也發現了問題,并進一步證實了問題的嚴重性。4月7日,雅虎、GitHub、LastPass等網站相繼發布公告,承認受到“心臟出血”漏洞影響,建議用戶更改密碼。
直至此時,大部分主流網站和幾乎所有主要電子運營商都對此事保持緘默,甚至有人樂觀預期,“心臟出血”不過是“讓大家麻煩些更換密碼”的癬疥之患。
然而更驚人的消息很快傳出:幾天后,擁有150萬注冊用戶的英國育嬰網站Mumsnet公開承認,自己的數據庫被黑客借助“心臟出血”漏洞成功入侵,部分用戶密碼和個人信息被盜。據稱,該網站創始人朱斯汀·羅伯茨在自己網站上注冊的個人ID和密碼被人竊取并在網站發布信息,隨后黑客主動通知網站管理員,表示自己是通過“心臟出血”漏洞成功入侵,警告“數據庫不安全”。4月11日,著名黑客費多爾·安度特尼也通過“親身實踐”證明,通過“心臟出血”漏洞,熟練黑客可創建一個和合法網站一模一樣的假網站,并偽造電子證書,誘使用戶在注冊、登錄或進行在線交易時泄露有價值的個人信息。
上述消息意味著,此前一些人“只要換一下用戶密碼就萬事大吉”的樂觀預期與事實不符“心臟出血”可遠不是個密碼保護問題。
幾乎與此同時,加拿大聯邦稅務局(CRA)宣布,同樣因“心臟出血”漏洞,黑客闖入CRA官網數據庫,竊取了多達900人的社會保險卡(SIN )資料。如果說此前的Mumsnet事件,黑客還帶有試驗、預警的“正面”目的,那么加拿大聯邦稅務局的失密事件,可謂“心臟出血”漏洞公開披露后第一次證據確鑿、惡意明顯的人為攻擊。
從經濟上講,“心臟出血”已開始構成經濟上的直接損失和間接影響。因為900人的SIN卡信息被盜,加拿大局CRA官方網站一度被迫關閉,原定4月12日的恢復時間被拖延到15日,且開放當天因信息涌入過多而造成網絡訪問不暢。CRA網站長時間關閉,影響了眾多人網上報稅,因為每年4月30日是加拿大報稅最終期限,按規定倘4月30日前不能完成報稅,會遭到罰款和收取利息。為此,CRA最終不得不宣布,今年如果逾期,將不會被追究責任。此外,CR A網絡系統的關閉會影響某些中小企業的財務,甚至一來很多單位將無法按時發放員工工資。
一些財務專家指出,由于漏洞系與OpenSSL加密庫“捆綁”,CRA不得不斥巨資緊急更換了整個加密系統,不僅如此,當4月11日“安度特尼實驗”的信息被披露后,CRA為防萬一,不得不宣布將更多采用普通掛號信、而非電子郵件方式和用戶聯系,這意味著需要雇傭更多臨時性人手,以及隨之而來的成本增加。
然而“心臟出血”所造成的經濟影響,恐遠不止于此。
“心臟出血”給人們最大的震撼,在于迄今讓互聯網保持通暢,讓人們相信網上交聯這種“看不見的交流”可以建立,甚至可以發生商業交易的前提——如今都被證明不可靠,或至少“不知道是否可靠”。此次“心臟出血”漏洞曝光之初,人們還慶幸除了雅虎,很少有大公司、知名網站卷入其中,但“安度特尼實驗”和加拿大CRA網站的失密和一度癱瘓,讓人們匆匆筑起的心理臨時防線瞬間崩潰。
不管漏洞產生的真相是否出于故意,但誰都無法確信,其它類似情況和場合是否會重演;同樣誰都無法確信,下一次人們碰上的僅僅是又一次“心臟出血”,而非心肌梗塞。
“心臟出血”漏洞剛剛報告之際,GitHub匆匆發布了一份“安民告示”,列舉了據稱截至4月8日,對訪問量排名TOP1000網站的“全面權威性調查”,得出的結論是,雅虎、Imgur等若干網站“存在較大隱患和風險”,而谷歌、臉書、維基百科、推特和亞馬遜在線等主要網站“安全沒有問題”。但只幾天功夫,“白名單”上的亞馬遜在線就公開承認“可能受到漏洞影響”,維基百科雖未直接提及“心臟出血”,卻建議用戶更改密碼,更讓人啼笑皆非的是,GitHub自己隨后也發布了和亞馬遜在線幾乎如出一轍的聲明。這種做法本身,恐只會令本已被“心臟出血”嚴重影響了其對網絡安全、對在線服務、對運營商信心的用戶們,產生更多不信任感。
《華盛頓郵報》援引專家最新預計,認為“心臟出血”的直接、間接影響,將覆蓋全球互聯網用戶的2/3,并促使成千上萬用戶改變其對谷歌、雅虎、臉書等的密碼和使用方式。目前最有效的補救方式,是讓每一家可能受到影響的網站更換安全證書,這勢必牽扯到一筆龐大的開支。經此一役,無論是用戶或者個人恐怕都會削弱對在線業務、電子營商的信心和興趣。
或許,如某些專家所言,近年來流行的“通過增加密碼鎖增加安全感”的網站安全維護思路,需要有所調整了——事實證明,這樣做不僅耗費巨大,而且,一旦出問題的是密碼鎖本身,后果甚至比“開門揖盜”更不堪設想。
