据报道,目前全球前 2000 名的企业当中仍有四分之三在使用具有潜在威胁的、易受攻击的服务器,造成如此现象的主要原因是这些公司并没有彻底的加固系统来对抗去年报道出来的 OpenSSL Heartbleed。密钥管理公司 Venafi 最近报道了这一消息。
通过扫描 2000 家公司的面向公众系统得出这样的结果,有差不多 74% 的业务仍然处在易受攻击的环境里,主要表现在两个方面,一是加密秘钥的欺诈使用和 Heartbleed 脆弱性被曝光之后的证书被盗这两点。虽然有的公司已经给 OpenSSL 软件打上了补丁,但是攻击者还是照样可以利用 Heartbleed 来获得 Secure Sockets Layer (SSL)密钥和网站易受攻击的证书、虚拟专用网络和其他服务器。而这两千家企业里还有一千两百家在使用这些证书和密钥,相当于置他们于未来的危险当中。Venafi 安全战略副主席 Kevin Bocek 如是说。
就在前几天,OpenSSL Project 报道说,由于他们广泛使用 Secure Sockets Layer (SSL)协议可能会使得攻击者利用一个软件的普通功能就可以远程获取服务器里的敏感数据。后来在一个简单的攻击案例里面,调查人员真的可以远程获取密码、安全数据和私人密钥。
当然,一些受欢迎的有知名度的网站和服务商标会快速给软件打上补丁,至少是在 48 小时内可以做到这一点。例如 Alexa Top 500 列出的易受攻击的服务器网站就已经更新了 OpenSSL 软件。不管怎么样,攻击者总是会抓住漏洞出现的时机,在你修复漏洞之前就已经窃取了自己想要的东西。
攻击者从大公司获取密钥达到了什么程度这一点还不得而知,然而,密钥恢复过程中通过 Heartbleed 的时候是允许攻击者违反卫生保健社区系统并盗取患者的个人信息。在去年 8 月份的时候就有这样的事情,当时有 450 万条个人信息泄露。
为了彻底加固系统,公司不得不追捕到所有泄露出去的密钥和证书,尤其是在 Heartbleed 公布出来和公司给服务器打补丁这段时间之内。所以公司必须重新补发新的证书,但是要产生一个新的密钥。
上面的例子完全就是好了伤疤忘了疼的典型案例,记得去年因为这样一个心脏流血的漏洞使得 IT 行业人心惶惶,可是当这一事件过去之后,调查显示这样的漏洞危机并没有真正的远离。我们需要做的当然不只是解决眼前问题,而是要解决会不会复发的问题。