全球近期被一个新鲜的词组——“心脏出血”(Heartbleed)折腾得心惊肉跳、寝食难安,因为这个名词,几乎颠覆了互联网世界一切既定秩序。然而,与以往不同,“心脏出血”既不是什么凶猛的病毒,也不是什么叵测的密码,而只是一个程序上的漏洞,且这个漏洞很可能并非出于蓄意破坏,而只是一次阴差阳错的疏忽所致。
2010年底,开源加密库OpenSSL程序员、德国人罗宾·赛格尔曼提交了一份例行程序代码升级方案,由于时值新年假期前夕,赛格尔曼本人和审查者斯蒂芬·亨森鬼使神差地均未发现其中包含一个致命的程序漏洞,这个漏洞一旦更新成为O penSSL代码的一部分,就可能赋予这一加密库一个危险破绽,有经验的黑客可借此读取网络服务器内存,从而访问并窃取最敏感、最核心的用户数据。由于OpenSSL本身的用途,正是为网站数据加密并提供隐私保护,通俗地说,就是网络安全的“密码锁”,“心脏出血”恰恰让这把“密码锁”的密码钥匙被公然挂在客厅里,后果可想而知。
4月3日,谷歌工程师尼尔·梅塔首先发现了“心脏出血”漏洞,随后计算机安全公司Codenomicon也发现了问题,并进一步证实了问题的严重性。4月7日,雅虎、GitHub、LastPass等网站相继发布公告,承认受到“心脏出血”漏洞影响,建议用户更改密码。
直至此时,大部分主流网站和几乎所有主要电子运营商都对此事保持缄默,甚至有人乐观预期,“心脏出血”不过是“让大家麻烦些更换密码”的癣疥之患。
然而更惊人的消息很快传出:几天后,拥有150万注册用户的英国育婴网站Mumsnet公开承认,自己的数据库被黑客借助“心脏出血”漏洞成功入侵,部分用户密码和个人信息被盗。据称,该网站创始人朱斯汀·罗伯茨在自己网站上注册的个人ID和密码被人窃取并在网站发布信息,随后黑客主动通知网站管理员,表示自己是通过“心脏出血”漏洞成功入侵,警告“数据库不安全”。4月11日,著名黑客费多尔·安度特尼也通过“亲身实践”证明,通过“心脏出血”漏洞,熟练黑客可创建一个和合法网站一模一样的假网站,并伪造电子证书,诱使用户在注册、登录或进行在线交易时泄露有价值的个人信息。
上述消息意味着,此前一些人“只要换一下用户密码就万事大吉”的乐观预期与事实不符“心脏出血”可远不是个密码保护问题。
几乎与此同时,加拿大联邦税务局(CRA)宣布,同样因“心脏出血”漏洞,黑客闯入CRA官网数据库,窃取了多达900人的社会保险卡(SIN )资料。如果说此前的Mumsnet事件,黑客还带有试验、预警的“正面”目的,那么加拿大联邦税务局的失密事件,可谓“心脏出血”漏洞公开披露后第一次证据确凿、恶意明显的人为攻击。
从经济上讲,“心脏出血”已开始构成经济上的直接损失和间接影响。因为900人的SIN卡信息被盗,加拿大局CRA官方网站一度被迫关闭,原定4月12日的恢复时间被拖延到15日,且开放当天因信息涌入过多而造成网络访问不畅。CRA网站长时间关闭,影响了众多人网上报税,因为每年4月30日是加拿大报税最终期限,按规定倘4月30日前不能完成报税,会遭到罚款和收取利息。为此,CRA最终不得不宣布,今年如果逾期,将不会被追究责任。此外,CR A网络系统的关闭会影响某些中小企业的财务,甚至一来很多单位将无法按时发放员工工资。
一些财务专家指出,由于漏洞系与OpenSSL加密库“捆绑”,CRA不得不斥巨资紧急更换了整个加密系统,不仅如此,当4月11日“安度特尼实验”的信息被披露后,CRA为防万一,不得不宣布将更多采用普通挂号信、而非电子邮件方式和用户联系,这意味着需要雇佣更多临时性人手,以及随之而来的成本增加。
然而“心脏出血”所造成的经济影响,恐远不止于此。
“心脏出血”给人们最大的震撼,在于迄今让互联网保持通畅,让人们相信网上交联这种“看不见的交流”可以建立,甚至可以发生商业交易的前提——如今都被证明不可靠,或至少“不知道是否可靠”。此次“心脏出血”漏洞曝光之初,人们还庆幸除了雅虎,很少有大公司、知名网站卷入其中,但“安度特尼实验”和加拿大CRA网站的失密和一度瘫痪,让人们匆匆筑起的心理临时防线瞬间崩溃。
不管漏洞产生的真相是否出于故意,但谁都无法确信,其它类似情况和场合是否会重演;同样谁都无法确信,下一次人们碰上的仅仅是又一次“心脏出血”,而非心肌梗塞。
“心脏出血”漏洞刚刚报告之际,GitHub匆匆发布了一份“安民告示”,列举了据称截至4月8日,对访问量排名TOP1000网站的“全面权威性调查”,得出的结论是,雅虎、Imgur等若干网站“存在较大隐患和风险”,而谷歌、脸书、维基百科、推特和亚马逊在线等主要网站“安全没有问题”。但只几天功夫,“白名单”上的亚马逊在线就公开承认“可能受到漏洞影响”,维基百科虽未直接提及“心脏出血”,却建议用户更改密码,更让人啼笑皆非的是,GitHub自己随后也发布了和亚马逊在线几乎如出一辙的声明。这种做法本身,恐只会令本已被“心脏出血”严重影响了其对网络安全、对在线服务、对运营商信心的用户们,产生更多不信任感。
《华盛顿邮报》援引专家最新预计,认为“心脏出血”的直接、间接影响,将覆盖全球互联网用户的2/3,并促使成千上万用户改变其对谷歌、雅虎、脸书等的密码和使用方式。目前最有效的补救方式,是让每一家可能受到影响的网站更换安全证书,这势必牵扯到一笔庞大的开支。经此一役,无论是用户或者个人恐怕都会削弱对在线业务、电子营商的信心和兴趣。
或许,如某些专家所言,近年来流行的“通过增加密码锁增加安全感”的网站安全维护思路,需要有所调整了——事实证明,这样做不仅耗费巨大,而且,一旦出问题的是密码锁本身,后果甚至比“开门揖盗”更不堪设想。
