新聞動態(tài)
快捷租賃4月10日全面解讀OpenSSL“心臟出血”漏洞
- 2014-04-10 14:53:43
-
8日晚,“黑客”迎來狂歡之夜,網(wǎng)絡安全協(xié)議OpenSLL曝出安全漏洞,讓他們借機肆意掃描網(wǎng)站數(shù)據(jù)庫,用戶登錄電商、網(wǎng)銀的賬戶、密碼等關鍵信息可能會泄露,造成財產(chǎn)損失。黑客和安全保衛(wèi)者正在進行“你盜我堵”的瘋狂賽跑,在這一過程中,也暴露出我國在網(wǎng)絡安全防護方面存在軟肋。
網(wǎng)絡地震來襲
微信淘寶網(wǎng)銀均會受影響
一位安全行業(yè)人士在某著名電商網(wǎng)站上用這個漏洞嘗試讀取數(shù)據(jù),在讀取200次后,獲得了40多個用戶名、7個密碼,用這些密碼,他成功地登錄了該網(wǎng)站
ZoomEye最新完成的掃描數(shù)據(jù)顯示,全國160萬個443端口中,已有3.3萬個受本次OpenSSL漏洞影響。在國外,受到波及的網(wǎng)站也數(shù)不勝數(shù),連NASA(美國航空航天局)也已宣布,用戶數(shù)據(jù)庫遭泄露。
一安全行業(yè)人士透露,他在某著名電商網(wǎng)站用這個漏洞嘗試讀取數(shù)據(jù),讀取200次后獲得40多個用戶名、7個密碼,用這些密碼,他成功地登錄了該網(wǎng)站。
北京知道創(chuàng)宇信息技術有限公司研究部總監(jiān)鐘晨鳴表示,此次漏洞會影響為數(shù)眾多的使用https的網(wǎng)站,其中包括公眾熟知并且經(jīng)常訪問的微信、淘寶、各個網(wǎng)銀、社交、門戶等知名網(wǎng)站。而且越是知名的大網(wǎng)站,越容易受到不法分子利用漏洞進行攻擊。
據(jù)介紹,這一漏洞的發(fā)現(xiàn)者們給這個漏洞起了個形象的名字:heartbleed——心臟出血。
“這個漏洞是地震級別的。”中國計算機學會信息安全專業(yè)委員會主任嚴明說,目前受害的用戶具體數(shù)字還難以知曉,要到過后才能統(tǒng)計出來。“打個形象的比喻,就像家里的門很堅固也鎖好了,但是發(fā)現(xiàn)窗戶虛掩著。”
威脅長期存在
并非此次修復漏洞就安全
該漏洞即使被入侵也不會在服務器日志中留下痕跡,攻擊者可以利用已獲得的數(shù)據(jù)進行更大程度上的破壞
然而,很多公司并沒認識到問題的重要性。北京知道創(chuàng)宇信息技術有限公司持續(xù)監(jiān)測發(fā)現(xiàn),一些機構升級了OpenSSL,如360、百度等;一些選擇暫停SSL服務,仍繼續(xù)使用其主要功能,如微信;有的為規(guī)避風險,干脆暫停網(wǎng)站全部服務;更有一部分根本沒有采取任何措施。
鐘晨鳴說,這個漏洞實際上出現(xiàn)于2012年,至今兩年多,誰也不知道是否已有黑客利用漏洞獲取了用戶資料;而且由于該漏洞即使被入侵也不會在服務器日志中留下痕跡,所以目前還沒辦法確認哪些服務器被入侵,也就沒法定位損失、確認泄漏信息,從而通知用戶進行補救。
相對于當前可能出現(xiàn)的信息泄密和財產(chǎn)損失,方興說,它的影響將是持久深遠的,并不是此次修復漏洞后就安全了,攻擊者還可以利用獲得的數(shù)據(jù)進行更大程度上的破壞。
不過,電商企業(yè)紛紛表示未受到影響,或已修復處理完畢。其中,1號店方面表示,公司的技術人員4月8日已經(jīng)充分評估過該漏洞對1號店系統(tǒng)的影響,目前1號店在線業(yè)務系統(tǒng)都是安全的,不受該漏洞的任何影響。阿里巴巴表示,旗下包括淘寶、天貓等電商平臺并未受到事件波及。支付寶相關負責人向記者表示,并未受到安全漏洞影響。騰訊方面則稱,目前相關的產(chǎn)品業(yè)務如郵箱、財付通、QQ、微信等都已經(jīng)修復完畢,“大家可以放心使用。”
不過金山毒霸安全專家李鐵軍認為,目前尚無法準確評估黑客利用漏洞獲得了多少數(shù)據(jù),因此普通用戶仍然需要小心為上。李鐵軍表示,對重要服務,盡可能開通手機驗證或動態(tài)密碼,比如支付寶、郵箱等,登錄重要服務,不僅需要驗證用戶名密碼,最好綁定手機,加手機驗證碼登錄。李鐵軍還建議用戶修改重要服務的登錄密碼,“一個密碼的使用時間不宜過長,超過3個月就該換掉了。”
對于普通用戶,安全領域?qū)<医ㄗh,近日在相關網(wǎng)站升級修復前,建議暫且不要登錄網(wǎng)購、網(wǎng)銀賬戶,尤其是對那些沒有明確采取補救措施的網(wǎng)站,更應該謹慎避免泄密風險。在網(wǎng)站完成修復升級后,及時修改密碼,避免引發(fā)次生危害。
美國新聞網(wǎng)站Vox周二撰文,對當天公布的OpenSSL“心臟出血”漏洞進行了全面解讀。以下為文章全文:
什么是SSL?
SSL是一種流行的加密技術,可以保護用戶通過互聯(lián)網(wǎng)傳輸?shù)碾[私信息。當用戶訪問Gmail.com等安全網(wǎng)站時,就會在URL地址旁看到一個“鎖”,表明你在該網(wǎng)站上的通訊信息都被加密。
這個“鎖”表明,第三方無法讀取你與該網(wǎng)站之間的任何通訊信息。在后臺,通過SSL加密的數(shù)據(jù)只有接收者才能解密。如果不法分子監(jiān)聽了用戶的對話,也只能看到一串隨機字符串,而無法了解電子郵件、Facebook帖子、信用卡賬號或其他隱私信息的具體內(nèi)容。
SSL最早在1994年由網(wǎng)景推出,1990年代以來已經(jīng)被所有主流瀏覽器采納。最近幾年,很多大型網(wǎng)絡服務都已經(jīng)默認利用這項技術加密數(shù)據(jù)。如今,谷歌、雅虎和Facebook都在使用SSL默認對其網(wǎng)站和網(wǎng)絡服務進行加密。
什么是“心臟出血”漏洞?
多數(shù)SSL加密的網(wǎng)站都使用名為OpenSSL的開源軟件包。本周一,研究人員宣布這款軟件存在嚴重漏洞,可能導致用戶的通訊信息暴露給監(jiān)聽者。OpenSSL大約兩年前就已經(jīng)存在這一缺陷。
工作原理:SSL標準包含一個心跳選項,允許SSL連接一端的電腦發(fā)出一條簡短的信息,確認另一端的電腦仍然在線,并獲取反饋。研究人員發(fā)現(xiàn),可以通過巧妙的手段發(fā)出惡意心跳信息,欺騙另一端的電腦泄露機密信息。受影響的電腦可能會因此而被騙,并發(fā)送服務器內(nèi)存中的信息。
該漏洞的影響大不大?
很大,因為有很多隱私信息都存儲在服務器內(nèi)存中。普林斯頓大學計算機科學家艾德·菲爾騰(Ed Felten)表示,使用這項技術的攻擊者可以通過模式匹配對信息進行分類整理,從而找出密鑰、密碼,以及信用卡號等個人信息。
丟失了信用卡號和密碼的危害有多大,相信已經(jīng)不言而喻。但密鑰被盜的后果可能更加嚴重。這是是信息服務器用于整理加密信息的一組代碼。如果攻擊者獲取了服務器的私鑰,便可讀取其收到的任何信息,甚至能夠利用密鑰假冒服務器,欺騙用戶泄露密碼和其他敏感信息。
誰發(fā)現(xiàn)的這個問題?
該漏洞是由Codenomicon和谷歌安全部門的研究人員獨立發(fā)現(xiàn)的。為了將影響降到最低,研究人員已經(jīng)與OpenSSL團隊和其他關鍵的內(nèi)部人士展開了合作,在公布該問題前就已經(jīng)準備好修復方案。
誰能利用“心臟出血”漏洞?
“對于了解這項漏洞的人,要對其加以利用并不困難。”菲爾騰說。利用這項漏洞的軟件在網(wǎng)上有很多,雖然這些軟件并不像iPad應用那么容易使用,但任何擁有基本編程技能的人都能學會它的使用方法。
當然,這項漏洞對情報機構的價值或許最大,他們擁有足夠的基礎設施來對用戶流量展開大規(guī)模攔截。我們知道,美國國家安全局(以下簡稱“NSA”)已經(jīng)與美國電信運營商簽訂了秘密協(xié)議,可以進入到互聯(lián)網(wǎng)的骨干網(wǎng)中。用戶或許認為,Gmail和Facebook等網(wǎng)站上的SSL加密技術可以保護他們不受監(jiān)聽,但NSA卻可以借助“心臟出血”漏洞獲取解密通訊信息的私鑰。
雖然現(xiàn)在還不能確定,但如果NSA在“心臟出血”漏洞公之于眾前就已經(jīng)發(fā)現(xiàn)這一漏洞,也并不出人意料。OpenSSL是當今應用最廣泛的加密軟件之一,所以可以肯定的是,NSA的安全專家已經(jīng)非常細致地研究過它的源代碼。
有多少網(wǎng)站受到影響?
目前還沒有具體的統(tǒng)計數(shù)據(jù),但發(fā)現(xiàn)該漏洞的研究人員指出,當今最熱門的兩大網(wǎng)絡服務器Apache和nginx都使用OpenSSL。總體來看,這兩種服務器約占全球網(wǎng)站總數(shù)的三分之二。SSL還被用在其他互聯(lián)網(wǎng)軟件中,比如桌面電子郵件客戶端和聊天軟件。
發(fā)現(xiàn)該漏洞的研究人員幾天前就已經(jīng)通知OpenSSL團隊和重要的利益相關者。這讓OpenSSL得以在漏洞公布當天就發(fā)布了修復版本。為了解決該問題,各大網(wǎng)站需要盡快安裝最新版OpenSSL。
用戶應當如何應對該問題?
不幸的是,如果訪問了受影響的網(wǎng)站,用戶無法采取任何自保措施。受影響的網(wǎng)站的管理員需要升級軟件,才能為用戶提供適當?shù)谋Wo。
不過,一旦受影響的網(wǎng)站修復了這一問題,用戶便可以通過修改密碼來保護自己。攻擊者或許已經(jīng)攔截了用戶的密碼,但用戶無法知道自己的密碼是否已被他人竊取。
- [返回首頁] [打印] [返回上頁]
新聞動態(tài)
