能利用Heartbleed漏洞的不只是黑客 也可以是研究人员

“心脏出血（Heartbleed）”OpenSSL漏洞震惊了整个安全市场，如今，它的影响已经超出理论上的危险程度：有两家企业报告称他们已经因为该漏洞而遭受攻击者攻击。英国的一家育儿网站Mumsnet表示，他们最早听说Heartbleed漏洞是在4月10日，也就是该漏洞曝光后的第三天，他们立即对所有服务器进行了 测试。一旦检测出易受攻击的情况，Mumsnet网站就立即采用OpenSSL的修补版本，但是就在4月11日，攻击者还是成功利用该漏洞访问了 Mumsnet网站用户的账户数据。

上周末，Mumsnet网站决定强制其所有用户重新设置了登陆信息，尽管Mumsnet并不确认有人把利用Heartbleed漏洞用于恶意目的。

Mumsnet表示：“攻击者一旦利用了该漏洞，他就可以登陆你的账号，浏览你的历史记录、个人信息、注册信息等，尽管目前我们还没有证据证明有用户的账 户信息被用于恶意目的，也不确定Mumsnet网站的哪些用户受到该漏洞的影响。而最糟糕的情况是，攻击者已经访问了Mumsnet网站的所有用户的账户 数据。这也是我们要求所有用户重置密码的原因。”

另外，加拿大税务局（CRA）在一份声明中表示，有人利用Heartbleed漏洞，将大约900名纳税人的社会保险号码从系统中删除。其实，CRA在得知Heartbleed漏洞后就暂停了其网上税务申报服务，但还是为时已晚。

CRA在应用了Heartbleed漏洞补丁并测试其系统安全性以后，于上周日重新推出了在线服务，但是CRA表示，漏洞的修补工作还会继续。

CRA称：“我们目前正在分析其它的数据信息，有一些涉及到企业的数据可能也已经被删除了。尽管进行了严格的控制，我们还是成为众多受到OpenSSL漏 洞影响的企业之一，不过幸亏我们有加拿大服务共享局和其他安全合作伙伴的支持，在系统恢复之前，其它数据没有被继续泄露。此外，到目前为止的分析数据显 示，还没有其它CRA机构数据泄露事件发生。”

这些Heartbleed漏洞利用足以显示了攻击者收集敏感信息的能力，但是，这个漏洞还有一个致命的问题：攻击者可以利用该漏洞窃取SSL密钥。

CloudFlare和Akamai已经发现Heartbleed漏洞的复杂性

两家安全厂商已意识到Heartbleed漏洞问题的严重性，越来越多的安全专家也都表示，这是互联网有史以来最广泛的漏洞之一。

在上周的一篇博客中，总部位于旧金山的内容分发网络公司CloudFlare修补了其基于早期披露的OpenSSL版本，试图缓解Heartbleed漏洞容易导致密钥数据泄露的问题，尤其是Nginx服务器。

CloudFlare的Nick Sullivan表示：“通过在我们的软件堆栈上的严格测试，现在攻击者已经无法再利用Heartbleed漏洞来窃取服务器上的密钥数据。”

为了做这项测试，CloudFlare举行了一场挑战赛，在其Nginx服务器上设置了一个OpenSSL漏洞版本，让挑战者利用Heartbleed从 服务器上窃取密钥。在挑战开始九小时以后，俄罗斯软件工程师Fedor Indutny完成了任务，但是需要发送超过250万个heartbeat请求。仅次于Indutny的是来自芬兰的信息安全顾问Ilkka Mattila，但也需要发送十万个请求。

Indutny随后在其博客中发布了他利用Heartbleed漏洞的提取脚本，并指出，该漏洞不会立即产生严重后果。尽管该漏洞想被利用需要很长时间，CloudFlare还是根据该挑战结果及时采取措施替换了管理用户的SSL密钥。

CloudFlare称：“根据该报告的结果，我们的建议是，每个用户都应该重发或撤销其密钥。”

另外，Akamai公司为了保护其客户免受Heartbleed漏洞威胁，于上周末撤销了之前发布的补丁。

意识到Heartbleed漏洞严重性后，Cambridge的厂商发布了一个内存分配工具，以防止SSL密钥的泄露。但是，在上周日晚上的一篇博客 中，Akamai的首席安全官（CSO）Andy Ellis表示，安全研究人员Willem Pinckaers与Akamai联系并报告在其Heartbleed修复中有一个漏洞。

Ellis表示：“因此，我们已经开始处理所有用户的SSL密钥/认证，有一些认证可以很快处理完，但是有一些认证需要证书颁发机构额外的认证，可能耗时比较长。”