自4月7日首次发布Heartbleed安全漏洞的消息以来,全世界的IT专业人士都在努力遏制其影响。毫无疑问,当对所有损失进行最终统计时,它将带来很高的价格。从技术上讲,Heartbleed漏洞是开源OpenSSL加密库中的一个安全漏洞,它提供了安全套接字层(SSL)加密功能。OpenSSL广泛部署在全球的Linux服务器、移动设备和嵌入式设备上,为传输中的数据提供加密。自4月8日以来,大多数主要的Linux平台都提供了补丁,但有些平台没有打补丁,包括谷歌的安卓4.1(果冻豆)移动操作系统。
虽然大多数服务器平台上的补丁已经公开发布了一个多星期,但这并不意味着世界上所有可以打补丁的易受攻击的服务器和设备实际上都打了补丁。
例如,Tor Privacy Network本周将失去12%的网络,因为其网络中的服务器尚未更新以防止Heartbleed漏洞。Tor是一个由几个中继服务器组成的网络,互联网流量通过它进行路由,试图使用户的原始位置匿名。4月16日首次提供Heartbleed补丁后,与Tor项目合作的开发人员在一周多的时间里识别出了380个易受攻击的节点。
心痛让Tor付出了很多,在更大范围内,给全球互联网社区造成了更多的损失。
量化Heartbleed给全球IT系统和用户带来的成本并不容易。安全提供商CloudFlare试图估算一些成本。
Heartbleed漏洞的一个方面是,在服务器修复这个问题后,需要撤销SSL证书,然后重新颁发。鉴于SSL证书撤销列表为证书颁发机构(CA)提供带宽,CloudFlare首席执行官Matthew Prince在一篇博客文章中估计,通过GlobalSign CA撤销SSL证书的成本可能会带来40万美元的带宽成本。它只是一个云提供商,与CA合作。
心脏出血的真实总成本将包括许多因素。这些变量将需要考虑在心脏出血等式的总成本中:
1.人力资源:建立补丁。所有实际构建和打包OpenSSL的项目和人员都涉及成本。
2.人力资源:补丁实施。个人和公司实际实施所需补丁所需的时间可能涉及成本。
3.风险扫描。并非所有组织都正确理解其企业中的运行情况,并且可能存在与扫描风险服务器相关的员工时间成本。
4.人力资源:重置密码。为服务器管理员和最终用户重置密码是一个耗时的过程。
5.证书吊销带宽。正如CloudFlare所指出的,撤销然后重新颁发SSL证书的过程可能会占用大量带宽,成本也很高。
6.数据被盗。到目前为止,唯一公开报告Heartbleed导致的数据被盗的组织是加拿大税务局,但以后可能会有更多这样的报告。
通过将所有这些输入汇总到数亿受影响的最终用户,我们将获得Heartbleed的总成本。
鉴于历史先例,把实际数字放在上面,我认为5亿美元是一个很好的起点。早在2001年,eWEEK报道称,在W.32 Nimda中清洗蠕虫的估计成本将达到5亿美元。那是13年前的事了;在通货膨胀的情况下,Heartbleed的成本可能会高得多,尽管事实是今天的整体计算成本比2001年更便宜,自动化程度也更高。
不考虑最终的总数,Heartbleed是一个安全事件,这在最近的记忆中是无与伦比的。它的潜在影响是广泛的,可能需要几周、几个月甚至几年来计算最终的真实成本。