OpenSSL “Heartbleed” 漏洞意味着什么?要如何应对?

Patrick · 2014-04-09
SSL可能是大家接触比较多的安全协议之一,看到某个网站用了https://开头,就是采用了SSL安全协议。而OpenSSL,则是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。 换句话讲,OpenSSL其实就是互联网上销量最大的锁。而昨天,这把锁出现了问题。OpenSSL曝出重大安全漏洞——“Heartbleed Bug”。Google和网络安全公司Codenomicon的研究人员发现,OpenSSL Heartbleed模块存在一个BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长达64K的数据。

SSL可能是大家接触比较多的安全协议之一,看到某个网站用了https://开头,就是采用了SSL安全协议。而OpenSSL,则是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。

换句话讲,OpenSSL其实就是互联网上销量最大的锁。而昨天,这把锁出现了问题。OpenSSL曝出重大安全漏洞——“Heartbleed Bug”。Google和网络安全公司Codenomicon的研究人员发现,OpenSSL Heartbleed模块存在一个BUG:

简单的说,黑客可以对使用https(存在此漏洞)的网站发起攻击,每次读取服务器内存中64K数据,不断的反复获取,内存中可能会含有用户http原始请求、用户cookie甚至明文帐号密码等。大家经常访问的支付宝、微信、淘宝等网站也存在这个漏洞。而更有网友测试了世界最流行的1000家网站,结果30%~40%的都有问题。

除此之外,这个漏洞受到这么多人重视还有别的原因:

  1. 这个漏洞已长时间存在,只是在昨天才被曝出。所以很难估计到底有多少网站,多少用户的资料被窃取。
  2. 这个漏洞很容易被黑客利用。
  3. 不留痕迹。这可能是最关键的问题,网站无法知道是谁窃取了用户信息,很难追究法律责任。

这一漏洞的官方名称为CVE-2014-0160。该漏洞影响了OpenSSL 1.0.1版至1.0.1f版。而1.0.1之前更老的版本并没有受到影响。OpenSSL已经发布了1.0.1g版本,以修复这一问题,但网站对这一软件的升级还需要一段时间。不过,如果网站配置了一项名为“perfect forward secrecy”的功能,那么这一漏洞的影响将被大幅减小。该功能会改变安全密钥,因此即使某一特定密钥被获得,攻击者也无法解密以往和未来的加密数据。

如何应对该漏洞?

  • 个人用户防御建议:

各个网站修复这个漏洞都可能需要1-3天的时间,有些反应较为迅速的网站如淘宝,微信等可能修复的更快。只要等有漏洞的网站修复完成就能登陆了。当然,若还是不放心,你还可以点击这里或者点击这里查看自己要登陆的网站是否安全。对已经不小心登陆过这些网站的用户,可以修改一下密码。

除此之外,密切关注未来数日内的财务报告。因为攻击者可以获取服务器内存中的信用卡信息,所以要关注银行报告中的陌生扣款。

  • 企业防御建议: 升级到最新版本OpenSSL 1.0.1g。无法立即升级的用户可以以-DOPENSSL_NO_HEARTBEATS开关重新编译OpenSSL。而1.0.2-beta版本的漏洞将在beta2版本修复。当然,升级后别忘记提醒用户更改密码、提醒云服务使用者更新SSL密钥重复证书。

推荐阅读:邪红色信息安全组织创始人@Evi1m0 发表的《核弹级漏洞爆出,互联网公司不眠夜,网民们还蒙在鼓里》一文,他实际测试了国内重要网站的受影响情况,有助于大家直观了解此次安全漏洞的严重程度。

+1

好文章,需要你的鼓励

参与评论
登录后才能参与讨论哦...
后参与讨论
提交评论0/1000

请回复有价值的信息,无意义的评论将很快被删除,账号将被禁止发言。

下一篇

Secret在国内的第一个学徒——无觅团队推出的“秘密”近来吸引了不少人的关注。外界对这款主打熟人匿名社交的应用褒贬不一。腾讯产品经理“狼爷山”仅从产品设计角度出发,给“秘密”提了七条建议。我们不妨来看下。

2014-04-09

36氪APP让一部分人先看到未来
36氪
鲸准
氪空间

为你推送和解读最前沿、最有料的科技创投资讯

一级市场金融信息和系统服务提供商

聚集全球最优秀的创业者,项目融资率接近97%,领跑行业