Heartbleed SSL Flaw的真实成本将需要时间来理清
自4月7日首次发布有关Heartbleed安全漏洞的消息以来,全世界的IT专业人员一直在努力遏制其影响。毫无疑问,当对造成的所有损失进行最后的统计时,将带来高昂的代价。从技术上讲,Heartbleed漏洞是开放源代码OpenSSL加密库中的一个安全漏洞,该库提供安全套接字层(SSL)加密功能。OpenSSL广泛部署在世界各地的Linux服务器,移动设备和嵌入式设备上,并为传输中的数据提供加密。自4月8日以来,大多数主要Linux平台均已提供补丁程序,但仍未对某些平台进行补丁程序,包括Google的Android 4.1(Jelly Bean)移动操作系统。
尽管大多数服务器平台上的补丁程序公开发布已超过一周,但这并不意味着世界上所有可以修补的易受攻击的服务器和设备实际上都已被修补。
例如,Tor隐私网络本周将失去其网络的12%,这是由于其网络中的服务器尚未更新以防止Heartbleed漏洞而导致的。Tor是由多个中继服务器组成的网络,通过该中继服务器路由Internet通信量,以尝试使用户的原始位置匿名。与Tor项目合作的开发人员在4月16日首次提供Heartbleed补丁后一周多的时间内,确定了 380个易受攻击的节点。
Heartbleed使Tor付出了不菲的代价,在更广泛的范围内,它给全球互联网社区造成了更多损失。
量化Heartbleed对全球IT系统和用户造成的成本并非易事。云安全供应商CloudFlare已尝试估算一些成本。
Heartbleed漏洞的一个方面是,在服务器针对此问题进行修补之后,需要吊销SSL证书,然后重新发布。鉴于SSL证书吊销列表为证书颁发机构(CA)提供商提供了带宽,CloudFlare首席执行官Matthew Prince在一篇博客文章中估计,通过GlobalSign CA吊销SSL证书的成本很可能会带来40万美元的带宽成本。那只是一个云供应商,与一个CA一起工作。
Heartbleed的总真实成本将包括多个因素。这些变量将需要考虑到Heartbleed方程的总成本中:
1. 人力资源:建立补丁。实际构建和打包OpenSSL涉及的所有各个项目和人员涉及成本。
2.人力资源:实施补丁。个人和公司实际执行所需补丁所需的时间可能涉及成本。
3.人力资源:风险扫描。并非所有组织都正确了解其企业中正在运行什么,并且可能存在与扫描处于风险中的服务器相关的人员时间成本。
4.人力资源:重置密码。为服务器管理员和最终用户重置密码是一个耗时的过程。
5.证书吊销带宽。正如CloudFlare所指出的那样,吊销然后重新颁发SSL证书的过程可能会占用大量带宽,而且成本很高。
6.数据被盗。到目前为止,唯一公开报告因Heartbleed导致数据被盗的组织是加拿大税务局,但随后可能还会有更多此类报告。
将所有这些输入汇总给受影响的数亿最终用户,我们将获得Heartbleed的总费用。
鉴于历史上的先例,将实际数字放在上面,我认为5亿美元是一个很好的起点。早在2001年,eWEEK 报告称W.32 Nimda蠕虫清理的估计成本将达到5亿美元。那是13年前;在通货膨胀的情况下,Heartbleed的成本可能会高得多,尽管事实是,今天的总体计算成本比2001年便宜,而且自动化程度更高。
不管最终的总数如何,Heartbleed都是一次安全事件,这在最近的记忆中无与伦比。它的潜在影响是广泛的,可能需要数周,数月甚至数年才能计算出最终的真实成本。