連鎖都失效了，不換新怎會安全

剛搬到永和老公寓時，客廳落地窗的玻璃門無法上鎖，夜裡翻來覆去睡不安穩。我擔心一旦睡死了，若有人翻過沒有鐵窗的陽臺，拉開了門就輕易翻箱倒櫃，如入無人之境。隔天一早鎖匠來了一查，對著我喊：「連鎖都失效了，不換新怎會安全！」

引爆全球網站OpenSSL安全恐慌的Heartbleed漏洞，讓我想到了這個件事。OpenSSL就像是網站大門的鎖頭，過去兩年，許多知名網站為了強化網站安全，避免受到國家機器的檢查，或駭客的竊取，紛紛改用加密傳輸來提供網路服務，火紅的各種公雲服務也是靠加密來保護客戶資料，甚至只有客戶自己才擁有可以解碼的金鑰，連服務提供者都無法偷看。而多數網站慣用的加密機制就是這次引發軒然大波的OpenSSL。這個用來保護網站加密傳輸的鎖頭出包了。

光是一晚無法上鎖大門，我就輾轉難眠，這套網際網路的安全鎖頭，竟然2011年底就出現漏洞。一次OpenSSL程式碼的小更新，在一個用來查詢OpenSSL運作是否正常的Heartbeat（心跳）機制上，就像是MIS用來查詢網站服務是否正常的Ping指令，Heartbeat也會回傳一段資料給查詢者。

也許當時為了加快這個簡單指令的處理速度，而忘了限制回傳資料的長度，直接回傳64KB的內容給查詢者。但是，這個資料量遠超過了Heartbeat要提供的資料內容，導致系統會任意複製記憶體內其他資料，補足64KB內容回傳給查詢者，而外洩了不該提供的資料。因為在系統記憶體內的資料大多是沒有加密的真實資料，例如像是使用者帳號和密碼，甚至是交易資料、信用卡卡號等。

漏洞一發布，很快就有資安專家證實可以利用這個漏洞竊取Yahoo網站的登入密碼。加拿大國稅局提供的網路報稅服務也傳出災情，數百位民眾個資遭竊，甚至加拿大警方還逮捕了可能利用這個漏洞發動攻擊的一位駭客。

也有雲端服務業者設置了測試主機廣邀高手挑戰入侵，果然證實可以竊取網站的加密私鑰。有了這把鑰匙，就更容易偽裝成這個網站的身分，而難被識破。

原本安全的網站加密防護牆有了缺口，像破了一個洞的窗戶，外面的人隨時都可以一窺室內風光。Heartbeat也因此被命名為Heartbleed（心臟淌血）漏洞，因為攸關網站服務品質和信譽的安全有了傷口。

許多網路服務業者紛紛受到波及，Google、Yahoo、Facebook都緊急搶修，許多資安產品也受到影響，包括了作業系統、網站伺服器、資料庫、虛擬化產品等，甚至是許多知名廠牌的網通設備都紛紛中箭。IT廠商連忙日夜趕工推出更新。

就像鎖匠提醒我，得趕緊把鎖換了才安全，企業也得趕緊檢查自己所用的設備，是不是使用了發生問題的OpenSSL版本，甚至得更新程式且重新產生金鑰，撤銷可能有風險的老舊金鑰，才能第一時間止血。（請見OpenSSL安全大崩壞專題報導）