2014年4月8日,必将永载于互联网史册。这一天,互联网世界发生了两件大事:一、微软正式宣布XP停止服务退役;第二件,OpenSSL的大漏洞曝光。
国外大量的网站都在使用一种加密工具,而这个工具被爆出了漏洞,这就是Heartbleed,它也许也在影响着你。
出于安全,你最好马上修改密码,所有网站的所有密码。
简单来说,这个漏洞能够“监听”网页之间的通信,以及浏览这些网页的浏览器。
这个漏洞存在于OpenSSL中,它从服务器内存中读取用户名、密码、银行卡号等重要隐私数据。现在已经有大量互联网公司受到了波及。Heartbleed已经存在了大约两年了,而直到几天前,人们才发现了它。现在,负责OpenSSL技术的机构表示他们已经在着手封堵这个漏洞。他们也建设了一个网站:Heartbleed.com,来解释这个漏洞,并且详细说明封堵该漏洞的进程。
研究人员在Heartbleed.com上表示:“考虑到这个漏洞存在时间之长,用户应该严肃对待这个事情。”
OpenSSL在2011年12月就开始投入使用,从那一天起,Heartbleed就一直潜伏在我们身边。因此,很有可能你的敏感信息已经被盗取。一些主流服务,例如雅虎旗下的Tumblr,已经建议用户立刻修改密码。
Github今天发布了一个受影响网站的列表,我们在这个列表上发现了诸多知名互联网企业,例如雅虎、Stackoverflow.com、Outbrain.com、OKCupid.com、Steamcommunity.com、 Slate.com和 Entrepreneur.com等。其中很多网站都表示他们已经解决了这个问题。
该漏洞是被Codenimicon的安全工程师团队以及Google Security的Neel Mehta发现的。据悉,在发现了这个漏洞之后,Mehta立刻将其报告给了OpenSSL团队。
估计从昨天到今天各大网站的运维人员有得忙了。昨天OpenSSL爆出严重漏洞,据称,瞬间引爆了网络,引起各路人马狂欢。由于这次漏洞影响之严重,漏洞名称被成为心脏出血(Heartbleed )。
OpenSSL是什么东西呢?OpenSSL在Web容器如Apache/Nginx中使用,为网络通信提供安全及数据完整性的一种安全协议,Apache使用它加密HTTPS,OpenSSH使用它加密SSH。也就是说OpenSSL本身就是为了安全而部署的。因此在国内基本上所有的大型网站尤其是一些电商、支付相关的网站基本上都有使用OpenSSL进行传输加密。
那其实这个漏洞是怎么回事呢?据国内知名的安全厂商安天实验室发布的漏洞报告,OpenSSL在4月7日发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中多达64K的数据。
所以,由于OpenSSL在国内网站的普及度,这次漏洞公布引发严重影响。除了网络安全和运维人员紧急升级OpenSSL,修复漏洞,网络上也很快出现了许多针对这个漏洞的验证代码、脚本。安天实验室也进行了一些测试,并且针对这个漏洞获取到测试网站的泄露信息。
针对这个漏洞,笔者也简短采访了安天实验室的安全专家Billy。首先,OpenSSL怎么会突然爆发如此严重的漏洞呢?
Billy表示,其实这个漏洞不是新漏洞,而是存在并经历了一段比较长的时间。因此漏洞爆发之后其实涉及到OpenSSL的几个版本。
一般厂商发现漏洞之后的常规做法是先发布修复版本,然后快速通知其使用的客户或网站进行升级修复,最后再向公众进行公布。但这次OpenSSL在认识到漏洞,发布修复版本的同时就已经向公众公布了漏洞的存在。当然这一部分原因可能是因为OpenSSL的使用实在太广泛。在OpenSSL公布了漏洞之后,大量的网站在升级新版之前存在一定的时间差。就是这段时间让整个网络都沸腾了。
OpenSSL的此次漏洞Heartbleed 有多大的影响呢?
Billy说,OpenSSL是主要针对443端口的SSL协议。由于SSL协议是网络加密登陆认证、网络交易等的主流安全协议,而OpenSSL又是主流的SSL搭建平台。这个漏洞影响深远,因为OpenSSL在网络通讯中属于低层基础建筑,更重要的是其自身是保证安全通讯的。一个保证安全的协议居然爆出有如此重要的漏洞,对普通人而言对网络的安全性信心打击巨大。
笔者的一个安全专家天放给出一个形象的比喻,以前房子倒了,大家都知道是豆腐渣工程;这个漏洞让我们知道,地壳也是会踏的。
漏洞爆发后,由于OpenSSL使用广泛,这个漏洞在乌云成为白帽子们的刷分利器。
图片来自知乎
由于其使用广泛,包括国内许多大型网站,甚至包括如某宝、某付宝这样的电商网站或支付工具,这次漏洞也对人们在网络进行购买或支付的信心造成一定的打击。
那这样的漏洞网站方面怎么预防呢?
Billy表示,由于这次漏洞是OpenSSL方面的漏洞,与网站方面的安全工作没有关系,这样的漏洞很难避免。只能说需要运维人员时刻关注一些安全厂商、黑客网站提交的漏洞,做到可以快速反应。时刻关注安全厂商网站,关注安全厂商提供的报告进行快速修复。
如果有足够的技术实力,倒是可以自己开发自用的安全验证协议。Billy说,像Google这样的国外厂商没有受到这次漏洞的影响,因为他们的安全传输验证协议都是自己开发的。当然这需要很强的技术实力。