全世界的系统管理员都在争先恐后地修复一个名为“Heartbleed”的OpenSLL漏洞。与此同时,证书经销商已经上架,随时准备接收网管快递发回的证书,需要内容更新。OpenSSL的历史可以追溯到EricYoung创建的SSLeay。尽管美国约翰霍普金斯大学的MatthewGreen曾嘲笑它是“自学除大数”的项目,但我们还记得,在Hudson/Young之前,加密算法被美国政府牢牢控制。多年的积累和熟悉的特性让OpenSSL大受欢迎,但我们才刚刚接触到不为人知的深层次漏洞。例如,家庭宽带调制解调器/路由器是此类安全问题的典型载体。以下是您可能想要回答的几个问题:1.我们能否轻松判断我们的路由器是否正在运行OpenSSL,如果是,是哪个版本?(答案:可能不会。)2.我们可以轻松地将它升级到安全版本吗?(答:除非我们的设备供应商或互联网服务商提供相应的硬件固件升级补丁。)3.旧设备会升级吗?(回答:第一,短时间内不会;第二,即使可以,升级过程也不能自动化。)4.我们能做些什么?(答案:如果可能,请关闭远程管理功能。)据澳大利亚硬件开发商Redfish的JustinClacherty称,普通终端用户几乎不可能弄清楚消费级宽带路由器上运行的是什么版本的软件。ThreatIntelligence的TyMiller也对此表示赞同,并在接受采访时指出,终端用户要么学习如何访问相应设备的命令行获取信息,要么通过已经公开的Heartbleed漏洞测试进行查看。想都没有办法。这种情况让用户的命运完全掌握在供应商手中,Clacherty说:是否存在漏洞完全取决于设备中使用的是哪种嵌入式Linux,因为这会影响实际安装的OpenSSL版本。米勒指出,家庭路由器中的信息目前与商业环境中的信息一样敏感,只是规模较小:泄露的64KB内存块可能仍包含用户的银行密码或WiFi登录凭据。甚至“关闭远程管理”可能并不适用于所有人,因为某些ISP不向客户提供该选项。目前仍有大量企业级产品和服务使用OpenSSL进行连接保护,包括VPN产品和邮件服务器。“这个漏洞将在未来十年内存在,”米勒总结道。
