周一下午，IT界接到了一个非常恶劣的叫醒电话，来自OpenSSL项目的紧急安全咨询警告说有一个名为“Heartbleed”的开放性错误。这个错误可以用来从运行当前软件的任何服务器上提取一大块工作内存。当时有一个紧急补丁，但在安装之前，数以千万计的服务器暴露在外。任何运行服务器的人都突然处于危机状态。

让攻击者监听数据流量

如果“心血”这个名字听起来很戏剧化，那么这个bug似乎不辜负宣传。从受影响电脑的规模和漏洞的深度来看，这已经远比今年早些时候令苹果尴尬的GoToFail漏洞糟糕。新的bug会让攻击者将私钥拉到服务器上，让攻击者监听数据流量，并可能伪装成服务器。更糟糕的是，它已经过时了：这个bug可以追溯到两年前，现在还不清楚人们知道它有多久了。

网络上多达三分之二的服务器依赖于OpenSSL

OpenSSL在编码领域之外并不广为人知，但是web上多达三分之二的服务器依赖于它的软件。这一突然曝光意味着所有相关人员现在都在忙着解决问题。雅虎已经暴露了这个漏洞，专家建议任何雅虎用户在雅虎有时间更新服务器之前都不要使用他们的账户(雅虎的一位代表告诉《边缘》杂志，核心网站现在已经打了补丁，不过该团队仍在努力在网站的其他部分实施修复。）据报道，其他几十家较小的公司也受到了影响，其中包括Imgur、Flickr和LastPass（尽管LastPass说没有暴露未加密的数据）。”这是灾难性的坏，只是一个巨大的破坏性的错误，说：“ICSI安全研究员尼古拉斯韦弗。

谷歌研究人员Neel Mehta发现了这个漏洞，攻击者可以从给定服务器的工作内存中随机抽取64k。这有点像钓鱼-攻击者不知道什么可用的数据将在运输-但由于它可以执行一次又一次，有很多敏感数据的潜力被暴露。服务器的私有加密密钥是一个特定的目标，因为它们必须保存在工作内存中，并且很容易在数据中识别。这将允许攻击者窃听进出服务的流量，并可能解密任何以前以加密形式存储的流量。

“在接下来的几天里，当事情解决时，你可能想完全远离互联网。”

对于大多数依赖OpenSSL的隐私工具来说，这是灾难性的。Tor项目的一篇博文告诉用户，“如果你在互联网上需要很强的匿名性或隐私性，你可能希望在接下来的几天里在事情解决的时候完全远离互联网。”在很多情况下，几天可能是不够的。这将使服务有时间修补其服务器，但如果任何私钥在修补程序启动前被泄露，攻击者将在未来几个月内得到自由控制。服务器可以重置它们的证书，但这既慢又贵，专家怀疑其中许多服务器可能只是简单地认为补丁已经足够了。”我打赌一年后会有很多易受攻击的服务器，”韦弗说这是修不好的。”

“这是修不好的。”

苹果、谷歌和微软以及主要的电子银行服务似乎没有受到影响。另一方面，雅虎则受到影响，在其核心网站修复前的一天中，有相当一部分时间，雅虎都在泄露用户凭据。更普遍地说，任何在Apache或Nginx上运行OpenSSL的服务器都会受到影响，这涉及到大量的日常网站和服务。

目前，有几种方法可以让用户判断哪些服务是安全的，但这条消息并不让人放心。这个网站由开发人员Filippo Valsorda创建，提供了一个关于哪些服务当前未修补的抽查，但是该网站的代码也产生了误报，因此不应该被认为是完全排除了任何可能性。任何修补过的服务器还需要生成新的SSL证书，以确保攻击者不能使用在漏洞中暴露的密钥。要进行检查，请使用像这样的SSL跟踪器并查找证书的“颁发日期”，该日期应在最近的修补程序之后。重置证书需要时间和金钱，但是如果一个被破坏的站点继续使用一个被破坏的证书，他们将使自己处于被攻击的境地。

“这些都是非常微妙的错误。”

现在还很早就可以断定这次违约将带来哪些更大的变化，但一些教训已经很清楚了。尽管有大量的基础设施依赖于OpenSSL，但开源项目的资金相对不足，一些专家已经呼吁向该项目提供更多的捐款，以防止Heartbleed等漏洞从缝隙中溜走。完美的前向保密还可以限制漏洞造成的损害，防止事后解密。

但最令人不安的教训可能是，漏洞很难被发现，一旦被完全暴露，其危害性又有多大。”韦弗说：“这些都是非常微妙的虫子。”如果你通过内存检查器运行它，你可能会发现它，但这并不是那种只在查看代码时才会出现的事情。“这是谷歌的功劳，他非常严谨地发现了这个bug——但对于任何依赖安全软件的人来说，这是一个令人不安的想法。

更新美国东部时间4月8日下午3:54：更新以反映雅虎的声明：“我们的团队已成功地对雅虎的主要属性（雅虎主页、雅虎搜索、雅虎邮件、雅虎财经、雅虎体育、雅虎食品、雅虎科技、，Flickr和Tumblr），我们正在努力在其他网站上实施修复程序。”