全球近期被一個(gè)新鮮的詞組——“心臟出血”(Heartbleed)折騰得心驚肉跳、寢食難安,因?yàn)檫@個(gè)名詞,幾乎顛覆了互聯(lián)網(wǎng)世界一切既定秩序。然而,與以往不同,“心臟出血”既不是什么兇猛的病毒,也不是什么叵測(cè)的密碼,而只是一個(gè)程序上的漏洞,且這個(gè)漏洞很可能并非出于蓄意破壞,而只是一次陰差陽錯(cuò)的疏忽所致。
2010年底,開源加密庫OpenSSL程序員、德國人羅賓·賽格爾曼提交了一份例行程序代碼升級(jí)方案,由于時(shí)值新年假期前夕,賽格爾曼本人和審查者斯蒂芬·亨森鬼使神差地均未發(fā)現(xiàn)其中包含一個(gè)致命的程序漏洞,這個(gè)漏洞一旦更新成為O penSSL代碼的一部分,就可能賦予這一加密庫一個(gè)危險(xiǎn)破綻,有經(jīng)驗(yàn)的黑客可借此讀取網(wǎng)絡(luò)服務(wù)器內(nèi)存,從而訪問并竊取最敏感、最核心的用戶數(shù)據(jù)。由于OpenSSL本身的用途,正是為網(wǎng)站數(shù)據(jù)加密并提供隱私保護(hù),通俗地說,就是網(wǎng)絡(luò)安全的“密碼鎖”,“心臟出血”恰恰讓這把“密碼鎖”的密碼鑰匙被公然掛在客廳里,后果可想而知。
4月3日,谷歌工程師尼爾·梅塔首先發(fā)現(xiàn)了“心臟出血”漏洞,隨后計(jì)算機(jī)安全公司Codenomicon也發(fā)現(xiàn)了問題,并進(jìn)一步證實(shí)了問題的嚴(yán)重性。4月7日,雅虎、GitHub、LastPass等網(wǎng)站相繼發(fā)布公告,承認(rèn)受到“心臟出血”漏洞影響,建議用戶更改密碼。
直至此時(shí),大部分主流網(wǎng)站和幾乎所有主要電子運(yùn)營商都對(duì)此事保持緘默,甚至有人樂觀預(yù)期,“心臟出血”不過是“讓大家麻煩些更換密碼”的癬疥之患。
然而更驚人的消息很快傳出:幾天后,擁有150萬注冊(cè)用戶的英國育嬰網(wǎng)站Mumsnet公開承認(rèn),自己的數(shù)據(jù)庫被黑客借助“心臟出血”漏洞成功入侵,部分用戶密碼和個(gè)人信息被盜。據(jù)稱,該網(wǎng)站創(chuàng)始人朱斯汀·羅伯茨在自己網(wǎng)站上注冊(cè)的個(gè)人ID和密碼被人竊取并在網(wǎng)站發(fā)布信息,隨后黑客主動(dòng)通知網(wǎng)站管理員,表示自己是通過“心臟出血”漏洞成功入侵,警告“數(shù)據(jù)庫不安全”。4月11日,著名黑客費(fèi)多爾·安度特尼也通過“親身實(shí)踐”證明,通過“心臟出血”漏洞,熟練黑客可創(chuàng)建一個(gè)和合法網(wǎng)站一模一樣的假網(wǎng)站,并偽造電子證書,誘使用戶在注冊(cè)、登錄或進(jìn)行在線交易時(shí)泄露有價(jià)值的個(gè)人信息。
上述消息意味著,此前一些人“只要換一下用戶密碼就萬事大吉”的樂觀預(yù)期與事實(shí)不符“心臟出血”可遠(yuǎn)不是個(gè)密碼保護(hù)問題。
幾乎與此同時(shí),加拿大聯(lián)邦稅務(wù)局(CRA)宣布,同樣因“心臟出血”漏洞,黑客闖入CRA官網(wǎng)數(shù)據(jù)庫,竊取了多達(dá)900人的社會(huì)保險(xiǎn)卡(SIN )資料。如果說此前的Mumsnet事件,黑客還帶有試驗(yàn)、預(yù)警的“正面”目的,那么加拿大聯(lián)邦稅務(wù)局的失密事件,可謂“心臟出血”漏洞公開披露后第一次證據(jù)確鑿、惡意明顯的人為攻擊。
從經(jīng)濟(jì)上講,“心臟出血”已開始構(gòu)成經(jīng)濟(jì)上的直接損失和間接影響。因?yàn)?00人的SIN卡信息被盜,加拿大局CRA官方網(wǎng)站一度被迫關(guān)閉,原定4月12日的恢復(fù)時(shí)間被拖延到15日,且開放當(dāng)天因信息涌入過多而造成網(wǎng)絡(luò)訪問不暢。CRA網(wǎng)站長時(shí)間關(guān)閉,影響了眾多人網(wǎng)上報(bào)稅,因?yàn)槊磕?月30日是加拿大報(bào)稅最終期限,按規(guī)定倘4月30日前不能完成報(bào)稅,會(huì)遭到罰款和收取利息。為此,CRA最終不得不宣布,今年如果逾期,將不會(huì)被追究責(zé)任。此外,CR A網(wǎng)絡(luò)系統(tǒng)的關(guān)閉會(huì)影響某些中小企業(yè)的財(cái)務(wù),甚至一來很多單位將無法按時(shí)發(fā)放員工工資。
一些財(cái)務(wù)專家指出,由于漏洞系與OpenSSL加密庫“捆綁”,CRA不得不斥巨資緊急更換了整個(gè)加密系統(tǒng),不僅如此,當(dāng)4月11日“安度特尼實(shí)驗(yàn)”的信息被披露后,CRA為防萬一,不得不宣布將更多采用普通掛號(hào)信、而非電子郵件方式和用戶聯(lián)系,這意味著需要雇傭更多臨時(shí)性人手,以及隨之而來的成本增加。
然而“心臟出血”所造成的經(jīng)濟(jì)影響,恐遠(yuǎn)不止于此。
“心臟出血”給人們最大的震撼,在于迄今讓互聯(lián)網(wǎng)保持通暢,讓人們相信網(wǎng)上交聯(lián)這種“看不見的交流”可以建立,甚至可以發(fā)生商業(yè)交易的前提——如今都被證明不可靠,或至少“不知道是否可靠”。此次“心臟出血”漏洞曝光之初,人們還慶幸除了雅虎,很少有大公司、知名網(wǎng)站卷入其中,但“安度特尼實(shí)驗(yàn)”和加拿大CRA網(wǎng)站的失密和一度癱瘓,讓人們匆匆筑起的心理臨時(shí)防線瞬間崩潰。
不管漏洞產(chǎn)生的真相是否出于故意,但誰都無法確信,其它類似情況和場(chǎng)合是否會(huì)重演;同樣誰都無法確信,下一次人們碰上的僅僅是又一次“心臟出血”,而非心肌梗塞。
“心臟出血”漏洞剛剛報(bào)告之際,GitHub匆匆發(fā)布了一份“安民告示”,列舉了據(jù)稱截至4月8日,對(duì)訪問量排名TOP1000網(wǎng)站的“全面權(quán)威性調(diào)查”,得出的結(jié)論是,雅虎、Imgur等若干網(wǎng)站“存在較大隱患和風(fēng)險(xiǎn)”,而谷歌、臉書、維基百科、推特和亞馬遜在線等主要網(wǎng)站“安全沒有問題”。但只幾天功夫,“白名單”上的亞馬遜在線就公開承認(rèn)“可能受到漏洞影響”,維基百科雖未直接提及“心臟出血”,卻建議用戶更改密碼,更讓人啼笑皆非的是,GitHub自己隨后也發(fā)布了和亞馬遜在線幾乎如出一轍的聲明。這種做法本身,恐只會(huì)令本已被“心臟出血”嚴(yán)重影響了其對(duì)網(wǎng)絡(luò)安全、對(duì)在線服務(wù)、對(duì)運(yùn)營商信心的用戶們,產(chǎn)生更多不信任感。
《華盛頓郵報(bào)》援引專家最新預(yù)計(jì),認(rèn)為“心臟出血”的直接、間接影響,將覆蓋全球互聯(lián)網(wǎng)用戶的2/3,并促使成千上萬用戶改變其對(duì)谷歌、雅虎、臉書等的密碼和使用方式。目前最有效的補(bǔ)救方式,是讓每一家可能受到影響的網(wǎng)站更換安全證書,這勢(shì)必牽扯到一筆龐大的開支。經(jīng)此一役,無論是用戶或者個(gè)人恐怕都會(huì)削弱對(duì)在線業(yè)務(wù)、電子營商的信心和興趣。
或許,如某些專家所言,近年來流行的“通過增加密碼鎖增加安全感”的網(wǎng)站安全維護(hù)思路,需要有所調(diào)整了——事實(shí)證明,這樣做不僅耗費(fèi)巨大,而且,一旦出問題的是密碼鎖本身,后果甚至比“開門揖盜”更不堪設(shè)想。
