许多装备永久都不会修复心脏出血漏洞

本文为作者 Tom Simonite发表在 TechnologyReview 网站上的《Many Devices Will Never Be Patched to Fix Heartbleed Bug》1文，主要通过讲述 OpenSSL 漏洞一事提起了许多联网装备由于缺少必要的安全管理和软件更新，可能永久都没法修复这1安全漏洞，看似不会造成威海，但却存在非常高的安全风险。

本周最受关注的安全问题莫过于OpenSSL“心脏出血”漏洞，这1漏洞将影响超过 2/3 网站，几近所有的网民都需要认识到这个问题的严重性，必须要更新自己的网络账号密码。但是许多存在这1漏洞的系统并不在公众视野范围之类，它们或许永久都不会被修复。

此次“出血”的漏洞来自 OpenSSL 协议，这1协议广泛存在于家庭、办公室和企业连接互联网的软件中。这1漏洞将在网络硬件、家庭自动化系统和关键产业控制系统中继续存在多年，由于这些系统的更新频率非常低。

联网装备一般都会运行这一个简单的网页服务器，它可以让管理员进入网络控制面板。在多数情况下，这些服务器通过 OpenSSL 协议保证安全，但是安全软件公司 Lieberman Software 主席 Philip Lieberman 说，这些软件需要更新。但是许多企业并不会将漏洞更新看做是一件优先级很高的事情。“装备制造商不会为绝大多数装备提供漏洞补丁，有很大数量的补钉需要用户自己去更新。”

Lieberman 说，电视机顶盒和家用路由器将成为最受影响的装备，“ISP 商的网络上现在有百万台有漏洞的装备。”

“心脏出血”漏洞也将影响许多企业的安全。许多企业级的网络设施、产业和商业自动化系统都依赖 OpenSSL，这些装备几近不会更新。此前有人曾在网上发起大规模的网络地址扫描，发现了几十万个这样的装备存在各种各样的已知安全漏洞，它们涵盖了 IT 装备、交通控制系统，这些系统的漏洞都没有被修复，更不要说 OpenSSL 的漏洞。

STEALTHbits Technologies 公司策略与调查官 Jonathan Sander 认为，“不像那些有 IT 人员看管的大型服务器，这些存在 OpenSSL 漏洞的联网装备不会引发 IT 人员的注意。OpenSSL 协议就像是一台有缺点的发动机一样，被安在了所有的汽车、摩托车上。”

很难估计到底有多少联网装备存在“心脏出血”漏洞，由于 OpenSSL 协议已存在了很多年。安全公司 Rapid7 的安全调查员 Mark Schloesser 说：“所有在 2011 年 12 月到漏洞被爆出这段时间内使用的 OpenSSL 协议版本都存在这1漏洞。”

另一个未知的问题就是，人们还不知道黑客利用“心脏出血”漏洞可以获得多少数据。Schloesser 说，不同的系统可以获得的数据不同。以雅虎的服务器为例，黑客利用“心脏出血”漏洞可以获得用户的密码，而其他企业网站泄漏的信息就没有雅虎泄漏的有价值。

他还说，“有很多人正尝试用这一漏洞来进行大范围的网络入侵。”他指出自从漏洞爆出以后，网页服务器的登陆日志上能看出活跃度明显增加，有很多人都尝试发现存在安全隐患的系统，网络上也有脚本用来检测网站的漏洞。

Sander 说，许多但1目的的装备，比如说联网调温器，虽然不包括有价值的信息，但却可以让黑客有足够的全力去登陆并控制它，而且只需要一点数据就可以发现使用这个调温器的家庭里是不是有人。

上海德沁机械有限公司

上海德沁机械有限公司

高压清洗机