目前，世界各地的系統(tǒng)管理員們都在爭先恐后地修復(fù)一個(gè)名為“Heartbleed”的OpenSLL漏洞。

與此同時(shí)，證書經(jīng)銷商們也嚴(yán)陣以待、準(zhǔn)備迎接網(wǎng)絡(luò)管理員們通過快遞寄回并需要進(jìn)行內(nèi)容更新的證書。

OpenSSL的歷史可以追溯到Eric Young所打造的SSLeay。雖然來自美國約翰霍普金斯大學(xué)的Matthew Green曾經(jīng)將其譏諷為一個(gè)“教你自學(xué)大數(shù)除法”的項(xiàng)目，但我們還記得在Hudson/Young之前、加密算法曾經(jīng)由美國政府所牢牢控制。

多年的積累加上熟悉的特性使OpenSSL順利走向普及，而我們?nèi)缃癫艅倓偨佑|到其中不為人知的深層漏洞。

舉例來說，家用寬帶調(diào)制解調(diào)器/路由器就是這類安全問題的典型載體。大家不妨回答以下幾個(gè)問題：

1.我們能否輕松判斷自己的路由器是否運(yùn)行著OpenSSL，如果有的話其運(yùn)行的是哪個(gè)版本?(答案：也許不能。)

2.我們能否輕松將其升級(jí)至安全版本?(答案：除非我們的設(shè)備供應(yīng)商或者互聯(lián)網(wǎng)服務(wù)商為硬件提供對(duì)應(yīng)的固件升級(jí)補(bǔ)丁。)

3.陳舊設(shè)備是否會(huì)得到升級(jí)?(答案：第一，短時(shí)間內(nèi)不會(huì);第二，即使可以、升級(jí)過程也不可能自動(dòng)進(jìn)行。)

4.我們能為此做些什么?(答案：如果可以的話，關(guān)閉遠(yuǎn)程管理功能。)

澳大利亞硬件開發(fā)商Redfish公司的Justin Clacherty表示，普通終端用戶幾乎不可能弄清楚某臺(tái)消費(fèi)級(jí)寬帶路由器當(dāng)中所運(yùn)行的軟件版本。

Threat Intelligence公司的Ty Miller也對(duì)此表示贊同，同時(shí)在接受采訪中指出終端用戶要么學(xué)習(xí)如何通過接入對(duì)應(yīng)設(shè)備的命令行獲取信息、要么通過已經(jīng)公開的Heartbleed漏洞測試加以檢查，除此之外毫無辦法可想。

這種情況導(dǎo)致用戶的命運(yùn)被徹底把握在供應(yīng)商手中，Clacherty表示：是否存在漏洞完全取決于設(shè)備中采用了哪種嵌入式Linux，因?yàn)檫@將影響到實(shí)際安裝的OpenSSL版本。

Miller指出，目前家用路由器中的信息與商務(wù)環(huán)境同樣敏感，只不過規(guī)模更小一些：遭到泄露的64KB內(nèi)存數(shù)據(jù)塊仍然有可能包含著用戶的銀行密碼或者WiFi登陸憑證。

而且即使是“關(guān)閉遠(yuǎn)程管理”的方式也不一定適用于每一位用戶，因?yàn)槟承┗ヂ?lián)網(wǎng)服務(wù)商并沒有向客戶提供該選項(xiàng)。

目前還存在著大量利用OpenSSL進(jìn)行連接保護(hù)的企業(yè)級(jí)產(chǎn)品與服務(wù)，其中包括VPN產(chǎn)品以及郵件服務(wù)器等。

“這項(xiàng)漏洞在未來十年內(nèi)都將成為揮之不去的陰影，”Miller總結(jié)道。