本文为作者Tom Simonite发表在TechnologyReview网站上的《Many Devices Will Never Be Patched to Fix Heartbleed Bug》一文,主要通过讲述OpenSSL漏洞一事提起了许多联网设备因为缺乏必要的安全管理和软件更新,可能永远都无法修复这一安全漏洞,看似不会造成危害,但却存在非常高的安全风险。
本周最受关注的安全问题莫过于OpenSSL“心脏出血”漏洞,这一漏洞将影响超过2/3网站,几乎所有的网民都需要认识到这个问题的严重性,必须要更新自己的网络账号密码。但是许多存在这一漏洞的系统并不在公众视线范围之类,它们也许永远都不会被修复。
此次“出血”的漏洞来自OpenSSL协议,这一协议广泛存在于家庭、办公室和企业连接互联网的软件中。这一漏洞将在网络硬件、家庭自动化系统以及关键产业控制系统中继续存在多年,因为这些系统的更新频率非常低。
联网设备一般都会运行这一个简单的网页服务器,它可以让管理员进入网络控制面板。在多数情况下,这些服务器通过OpenSSL协议保证安全,但是安全软件公司Lieberman Software主席Philip Lieberman说,这些软件需要更新。但是许多企业并不会将漏洞更新看作是一件优先级很高的事情。“设备制造商不会为绝大多数设备提供漏洞补丁,有很大数量的补丁需要用户自己去更新。”
Lieberman说,电视机顶盒和家用路由器将成为最受影响的设备,“ISP商的网络上现在有百万台有漏洞的设备。”
“心脏出血”漏洞也将影响许多企业的安全。许多企业级的网络设施、产业和商业自动化系统都依赖OpenSSL,这些设备几乎不会更新。此前有人曾经在网上发起大规模的网络地址扫描,发现了几十万个这样的设备存在各种各样的已知安全漏洞,它们涵盖了IT设备、交通控制系统,这些系统的漏洞都没有被修复,更不要说OpenSSL的漏洞。
STEALTHbits Technologies公司策略与调查官Jonathan Sander认为,“不像那些有IT人员看管的大型服务器,这些存在OpenSSL漏洞的联网设备不会引起IT人员的注意。OpenSSL协议就像是一台有缺陷的发动机一样,被安在了所有的汽车、摩托车上。”
很难估计到底有多少联网设备存在“心脏出血”漏洞,因为OpenSSL协议已经存在了很多年。安全公司Rapid7的安全调查员Mark Schloesser说:“所有在2011年12月到漏洞被爆出这段时间内使用的OpenSSL协议版本都存在这一漏洞。”
另一个未知的问题就是,人们还不知道黑客利用“心脏出血”漏洞可以获取多少数据。Schloesser说,不同的系统可以获取的数据不同。以雅虎的服务器为例,黑客利用“心脏出血”漏洞可以获得用户的密码,而其他企业网站泄露的信息就没有雅虎泄露的有价值。
他还说,“有很多人正尝试用这一漏洞来进行大范围的网络入侵。”他指出自从漏洞爆出之后,网页服务器的登陆日志上能看出活跃度明显增加,有很多人都尝试发现存在安全隐患的系统,网络上也有脚本用来检测网站的漏洞。
Sander说,许多但一目的的设备,比如说联网调温器,虽然不包含有价值的信息,但却可以让黑客有足够的全力去登陆并控制它,而且只需要一点数据就可以发现使用这个调温器的家庭里是否有人。
