heartbleed漏洞事件:可怕的不是公开的漏洞,而是未公开的漏洞
4月8日,对于互联网界似乎是不平常的一天。这一天,一个代号“心脏出血”的重大互联网安全漏洞被国外黑客曝光。随着65.49.2.178事件(具体可查看马海祥博客发布的《65.49.2.178事件:专家呼吁中国应尽快建立DNS监控系统》相关介绍)发生还不到3个月的时间,黑客们和网络安全漏洞的检测者们又都度过了一个不眠之夜。
其实在4月7日这个细节公布之后,4月8日国内就开始对这个进行了应急,到下午的时候,比如说有些互联网公司,像百度、360、腾讯、阿里他们的应急团队就开始进行大面积的修补,但是这个修补过程实际上并不会说有那么快。
1、基础安全协议的“心脏出血”
据负责网络安全的专家透露:OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。
OpenSSL是目前互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。可以近似地说,它是互联网上销量最大的门锁。而Sean爆出的这个漏洞,则让特定版本的OpenSSL成为无需钥匙即可开启的废锁。
入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据。假如户主不幸是一个开商店的或开银行的,那么在他这里买东西、存钱的用户,其个人最敏感的数据也可能被入侵者获取。
据一位安全行业人士在马海祥博客上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
因此,发现者们给这个漏洞起了个形象的名字:heartbleed,心脏出血。这一夜,互联网的安全核心,开始滴血。
2、关于“心脏出血”漏洞的特点
今天,在“心脏出血”事件过去2天之后,我们再研究这个漏洞细节后发现它确实是与众不同的,如同网友调侃到的:“以前房子塌了都是因为建筑本身是豆腐渣工程,而这次我们知道原来脚下的地球也可能是豆腐渣工程,没事会给你来个大地震。”
之所以安全界人士不吝自己的夸张之词来形容这个漏洞,马海祥觉得主要是因为:
(1)、影响范围巨大
仅仅是受影响的Nginx和Apache就占据了web server 70%以上的市场。
(2)、易于利用
随机获取用户信息,是攻击的第一步,也几乎是最后一步。只要有攻击工具,无需任何专业知识就可以完成。
(3)、难于检测
攻击所用的心跳包并非是完整的HTTP会话,不会在web server留下日志。
唯一的幸运是,这个漏洞难以让攻击者精确瞄准指定用户,除非能提前获知目标访问的确切时间。攻击的效果就如同对着人群乱开枪。
3、关于攻击代码
HeartBleed(心脏出血)简单的利用手法决定了它可以写脚本来自动化,就在昨天凌晨,Mustafa在Github上发布了批量扫描工具,作为目标的1000个大网站中,Yahoo,Sogou等中招。如下图所示:
随即是更大规模的扫描,截止到昨天凌晨,Alexa前10000的网站中,1300余个中招。
群里有人开始求工具,随即发现攻击代码(也叫exploit)已经公布在了著名的exploit发布网站exploit-db上:
又过了24小时,针对FTP、SMTP和POP3协议的攻击代码也出现了(OpenSSL是一个底层架构,并非只用于HTTP)。攻击代码的放出,意味着“脚本小子”们开始加入这场party,攻击行为的规模会迅速扩大,任何网站都不应该有侥幸心理。
这个漏洞从知晓原理到写出攻击代码,是有一定门槛的。只有少数人懂得利用原理的漏洞也许难以造成大的破坏,但傻瓜化利用工具的大量流传却可以做到。
4、问题的应对与新的问题
目前,ZoomEye仍在持续不断地给全球服务器”体检“,这个过程需要20小时左右。相比之下,仅仅给国内服务器体检需要的时间短得多,仅仅需要22分钟。
目前,专家已经将这份名单提交给CNCERT/CC(国家互联网应急中心),由后者进行全国预警。但是,除了移动、联通等这些大型企业外,CNCERT也没有强制力确保其他公司看到预警内容,最后可能还是需要媒体持续曝光一些“带病”服务器,以此倒逼相关公司重视该漏洞。
而在漏洞修补期间,普通消费者与公司均应该采取相关措施规避风险。对于普通用户来说,专家建议在确认有关网站安全之前,不要使用网银、电子支付和电商购物等功能,以避免用户密码被钻了漏洞的骇客捕获。“一位银行朋友告诉我,他们补上这个漏洞需要两天时间。这两天大家最好就别登录网银了,确认安全后再登。如果已经登录过了,那就考虑换一下密码吧。”
与用户的消极避险不同,相关互联网企业则应该尽快进行主动升级。升级到最新的OpenSSL版本,可以消除掉这一漏洞,这是目前企业最便捷的做法。但在升级后,理论上还应该通知用户更换安全证书(因为漏洞的存在,证书的密钥可能已泄漏),并通知用户尽可能地修改密码。后面这两个措施,企业实施起来会面临很大的代价,也只能通过媒体尽量曝光,让意识到的用户重新下载证书并自行修改密码了。
由于“心脏出血”漏洞的广泛性和隐蔽性,未来几天可能还将会陆续有问题爆出。在互联网飞速发展的今天,一些协议级、基础设施级漏洞的出现,可能会打击人们使用互联网的信心,但客观上也使得问题及时暴露,在发生更大的损失前及时得到弥补。作为身处其中的个人,主动应变、加强自我保护,可能比把安全和未来全部托付出去要负责任一些。
5、漏洞背后的节操
这是一场互联网上罕见规模的“流血事件”。主要受害者,不是以往第三方漏洞事件中易受冲击的中小网站,而是树大招风的大网站。
HeartBleed(心脏出血)是由Google的安全人员首先发现并公布的,这应该是一次“负责任披露”:即先通知厂商,等待厂商发布补丁之后再公开。而我们不禁要问:为什么仍然有这么多大网站成了受害者?
这里首先科普一个概念:1 Day攻击。
一个漏洞的发补丁之日,就是其公开之时。补丁本身就是分析漏洞的最佳依据,黑客会在第一时间通过补丁前后代码的比对分析出漏洞原理,并开发出攻击代码。而这时,可能绝大多数用户还没来得及打上补丁,沦为待宰羔羊。这就是所谓的“1 Day攻击”,前文提到的那些事件,均属此类。
而这个漏洞,仅仅通知作为开发厂商的OpenSSL是远远不够的,后者发布补丁后,1 Day攻击就会开始,漏洞的发现者没有理由不知道这点。他知道漏洞的危害,甚至可以很容易扫描到有哪些网站会受冲击。作为安全责任最大的一方,他做了一个精美的介绍网站,甚至设计了漏洞的logo,而我们不知道,他是否也用过同样的精力通知那些大网站采取临时措施避免攻击。
再说说国内。
“白帽子”这个称呼是给最有节操的黑客的:以研究为目的,发现漏洞会通报厂商修补,以避免被攻击者利用造成损失。
乌云作为中国最大的白帽子漏洞报告平台,给曾经被黑色产业充斥的国内安全界带来了一抹亮色。在这次事件中,却变成了黑客们秀战果的场所。如下图所示:
网站名,漏洞名俱在,漏洞状态中,很多还是“等待厂商处理”,就这样被公开在乌云上颇有“此地无银三百两”的感觉。本人试着扫描了一个,漏洞还在。这就意味着,无数浏览乌云网的人都可能步其后尘,所谓的漏洞报告反而让网站成了聚光灯下的猎物。
如上面这张图所示,不用说你就知道是哪个网站被搞啦!(时至发稿,已经修补)
6、可怕的不是公开的漏洞,而是未公开的漏洞
一个漏洞的公开之日就是死亡倒计时的开始。如以前所有的漏洞事件一样,在它被慢慢补上并淡出人们视线之前,黑客和安全人员都在抓紧最后的时间进行赛跑。
据马海祥博客了解,就在前天晚上,Yahoo邮箱服务器被证实有漏洞,不过在凌晨时发现已被修补,其间不知有多少邮箱躺枪了。而还存在一种更可怕的可能:从泄露出的内存数据,有可能还原出SSL证书的私钥(虽然目前还没有人证实能做到这一点),这意味着在他们在付出较大代价得到新签发的证书之前,Yahoo网站的SSL加密将失去意义。通俗的说,你将永远不知道提交给Yahoo的密码有没有在传输中被人截获,甚至无法得知正在访问的那个网站是不是Yahoo真身。
对此,马海祥也认为,这种时候就算关闭SSL服务也好过放在那让人攻击,Yahoo这树太大了,多拖一分钟都很危险。
也许,这个操心是多余的。一般漏洞在公开之前都会有一段地下流传期,有的漏洞在公开前甚至被地下用过一年。这个漏洞又被用过多久?有多少账号,甚至证书私钥泄露了?细思极恐呀!
马海祥博客点评:
程序员有一句名言:It’s not a bug. It’s a feature. ——这不是bug,是功能。
而这句话的黑客版是:It’s not a vulnerability. It’s a backdoor. ——这不是漏洞,是后门。
本文发布于马海祥博客文章,如想转载,请注明原文网址摘自于https://www.mahaixiang.cn/internet/501.html,注明出处;否则,禁止转载;谢谢配合!相关标签搜索: heartbleed heartbleed漏 heartbleed事 漏洞事件
上一篇:计算机的开机启动原理
下一篇:企业云计算中存储必备的9大要素
您可能还会对以下这些文章感兴趣!
-
详解内存数据库中的索引技术
传统的数据库管理系统把所有数据都放在磁盘上进行管理,所以称作磁盘数据库(DRDB:Disk-Resident Database),磁盘数据库需要频繁地访问磁盘来进行数据的操作,磁盘的读写速度远远小于CPU处理数据的速度,所以磁盘数据库的瓶颈出现在磁盘读写上,基于此,内存数据库的概……【查看全文】
-
HTTP与HTTPS的区别
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡密码等……【查看全文】
-
盘点2010年代这10年的重大网络安全事件
二十一世纪的第2个十年即将过去,在过去十年里有很多的重大网络安全事件发生,我们见证了过去十年,大量的数据泄露、黑客攻击、民族国家之间的间谍行动、几乎不间断的金钱利益网络犯罪以及让系统崩溃的恶意软件,这些安全事件不绝于耳。以史为镜可以知兴替,我们不必沉溺于过去重大的数据泄露事件或者黑客行动,而是更应该专注他们的技术,从这些技术中去预见未来网络安全趋势,让专家对网络安全领域范式转变有所了解。下面我就按时间……【查看全文】
-
HTTP服务的七层架构技术解析及运用
一般来说,计算机领域的体系结构普遍采用了分层的方式,从最底层的硬件往高层依次有:操作系统->驱动程序->运行库->系统程序->应用程序等等。从网络分层模型OSI来讲,由上至下为:应用层->表示层->会话层->传输层->网络层->数据链路层->物理层。当然实际应用的TCP/IP协……【查看全文】
-
完整的汉字Unicode编码表
什么是Unicode编码呢?在创造Unicode之前针对各种语言有几百种编码系统,而且这些编码系统也相互冲突,给不同语言系统的电脑进行交流带来了麻烦。因为两种相同的字符在不同的编码系统可能有完全不同的意思,这些不同甚至会对电脑带来危害。于是Unicode出现了,Unicode给每个字符提供了一个唯一的数字,不论是什么平台,不论是什么程序,不论是什么语言。它真正实现了全球电脑系统的United,作为一个标准,它已经成为全球软件技术最重要的发展趋势……【查看全文】
阅读:11关键词: 编码表 日期:2019-06-25 -
计算机的开机启动原理
计算机从打开电源到开始操作,整个启动可以说是一个非常复杂的过程。总体来说,计算机的整个启动过程分成四个阶段:第一阶段:BIOS;第二阶段:主引导记录;第三阶段:硬盘启动;第四阶段:操作系统;直至执行/bin/login程序,跳出登录界面,等待用户输入用户名和密码。……【查看全文】
-
SSL证书服务的DV SSL、OV SSL和EV SSL三种类型有什么区别?
SSL 证书就是遵守 SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。SSL证书服务帮助您以最小的成本将服务从HTTP转换成HTTPS,实现网站或移动应用的身份验证和数据加密传输。简单来说,SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据……【查看全文】
阅读:21关键词: SSL证书 日期:2021-07-15 -
基于贝叶斯推断应用原理的过滤垃圾邮件研究
随着电子邮件的应用与普及,垃圾邮件的泛滥也越来越多地受到人们的关注。而目前正确识别垃圾邮件的技术难度非常大。传统的垃圾邮件过滤方法,主要有关键词法和校验码法等。前者的过滤依据是特定的词语;后者则是计算邮件文本的校验码,再与已知的垃圾邮件进行对比。它们……【查看全文】
-
今日头条的个性化推荐算法
互联网给用户带来了大量的信息,满足了用户在信息时代对信息的需求,但也使得用户在面对大量信息时无法从中获得对自己真正有用的那部分信息,对信息的使用效率反而降低了,而通常解决这个问题最常规的办法是推荐系统。推荐系统能有效帮助用户快速发现感兴趣和高质量的信……【查看全文】
阅读:13560关键词: 今日头条 日期:2016-01-20 -
云服务器的常规安全设置及基本安全策略
我们要保障云服务器数据安全,首先应树立正确的安全意识,从监控、入侵防御、数据备份等多方面做好安全措施,与服务商共同承担数据安全保护责任。只有由内而外进行双重加固,才能获得良好的安全性,最大限度地确保业务安全。最近,换了新的云服务器,很多安全设置就要重新做了,对于一些基本设置及基本安全策略,在网上搜了一下,整理大概有以下这些要点,如果有不足的设置,希望大家帮忙提出哈!……【查看全文】
分类目录
互联网更多>>
- 互联网思维究竟是一种什么样的思维? 但凡做企业的,不管是创业的还是在互联网冲击下转型升级的传统行业企业家,“互联网思维”已经成为了大家共同……
- 详解内存数据库中的索引技术 传统的数据库管理系统把所有数据都放在磁盘上进行管理,所以称作磁盘数据库(DRDB:Disk-Resident Database),磁盘数据……
- 关于大型网站架构的负载均衡技术详解 负载均衡是将负载(工作任务,访问请求)进行平衡、分摊到多个操作单元(服务器,组件)上进行执行,是解决高……
SEO优化 更多>>
-
百度搜索引擎的工作原理
关于百度以及其它搜索引擎的工作原理,其实大…… -
巧用nofollow和tags让收录暴涨
很多人在博客里看到nofollow这个词我想第一时间会…… -
百度正式宣布取消百度新闻源数据库
因百度对时效性内容识别技术升级,原独立新闻…… -
如何快速有效的降低网站跳出率?
网站跳出率是评价一个网站性能的重要指标,如…… -
细雨算法2.0即将上线:主要打击B2B领
对于近期B2B领域出现的伤害搜索用户体验的违规…… -
浅谈长尾关健词理论的局限性
长尾关键词是个基于营销学的动态概念,在一定…… -
什么是灰帽SEO技术?
一说到SEO技术,可能大家想到的就是白帽SEO技术…… -
如何在百度站长工具平台上进行“网
作为一名站长,在网站搭建以后,如果想要使用……