heartbleed漏洞是什么?
OpenSSL官方网站4月7日发布公告,安全公司Codenomicon的研究人员和Google安全小组的Neel Mehta相互独立地发现OpenSSL“heartbleed”存在安全漏洞(漏洞编号:CVE-2014-0160)。该漏洞发生在OpenSSL对TLS的心跳扩展(RFC6520)的实现代码中,由于遗漏了一处边界检查,使攻击者无需任何特权信息或身份验证,就能够从内存中读取请求存储位置之外的多达64 KB的数据,可能包含证书私钥、用户名与密码、聊天消息、电子邮件以及重要的商业文档和通信等数据。
这次发现的漏洞是2011年12月引入OpenSSL库中的,2012年3月14日1.0.1正式版发布后,含有漏洞版本的库被广泛使用,受影响版本为OpenSSL 1.0.1和1.0.2-beta,更早版本的OpenSSL(1.0.0和0.9.8等)不受影响。
使用OpenSSL的用户可以升级到最新版本OpenSSL 1.0.1g修复该漏洞,无法立即升级的用户可以以-DOPENSSL_NO_HEARTBEATS开关重新编译OpenSSL,1.0.2-beta版本的漏洞将在beta2版本修复。
heartbleed有什么危害?
2014年4月8日,必将永载于互联网史册。
这一天,互联网世界发生了两件大事:一、微软正式宣布XP停止服务退役;第二件,OpenSSL的大漏洞曝光。
很多普通人更关心第一件事,因为与自己切身相关。
但事实上,第二件事,才是真正的大事件。
这个漏洞影响了多少网站,这个数字仍在评估当中,但放眼放去,我们经常访问的支付宝、淘宝、微信公众号、YY语音、陌陌、雅虎邮件、网银、门户等各种网站,基本上都出了问题。
而在国外,受到波及的网站也数不胜数,就连大名鼎鼎的NASA(美国航空航天局)也已宣布,用户数据库遭泄露。
这个漏洞被曝光的黑客命名为“heartbleed”,意思是“心脏出血”——代表着最致命的内伤。
这是一个极为贴近的表述。
如果用专业的表述,OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,它通过一种开放源代码的SSL协议,实现网络通信的高强度加密。
这也就是说,OpenSSL的存在,就是一个多用途的、跨平台的安全工具,由于它非常安全,所以被广泛地用于各种网络应用程序中。
但现在,OpenSSL自己出现了漏洞,而且是非常高危胁的漏洞。利用这个漏洞,黑客可以轻松获得用户的cookie,甚至明文的帐号和密码。
这就像什么呢?你背靠着城墙与敌人战斗,突然,墙垮了。
于是,一场疯狂的竞速开始。
网站们开始紧急预警和修复升级,安全公司和白帽们忙着测试漏洞影响并进行扩展推衍,而更多的黑客们,则抓紧时间开始狂欢:
懂技术的人,深入地把玩这个漏洞,以它为武器,向自己久攻不下的网站发起攻击;不懂技术的小黑客们,也如同大战场边缘的游勇,利用漏洞四下劫掠。
这是一个不眠之夜——除了大批仍茫不知情的网民。
面对危机,网站们策略不一,有的紧急升级OpenSSL;有的暂停了服务;有的服务还在,但暂停了SSL加密;当然,还有的在睡大觉……
希望他们早上起来以后,还能保持自己放松的心情。
事实上,就漏洞本身来说,现在黑客们争夺的就是时间,一旦主要的网站们完成漏洞修复,这一波地震就能算是过去,大家自然回归常态,该网购的网购,该玩的玩。
不过,值得注意的是,由于OpenSSL应用非常广泛,所以相对网站等表面上的应用,它在各种客户端、VPN、WAF等其他领域,也将带来更加隐蔽的风险,并将持续一段时间。
而对整个互联网产业来说,这个事件更大的一个意义,在于让所有人重新回过头来反思:
当我们认为安全的一切,都突然变得不安全,我们又将如何维持这个虚拟世界的存续与稳定?
如果,这个事件能够改变环境,让因为不受重视,缺乏商业输血,长期处于孱弱状态的中国网络安全产业获得新的生机,或许,也能算是塞翁失马,终有所得。
普通用户如何应对Heartbleed漏洞?
4月9日,一个代号“Heartbleed”(意为“心脏出血”)的重大安全漏洞日前被曝光,它能让攻击者从服务器内存中读取包括用户名、密码和信用卡号等隐私信息在内的数据,目前已经波及大量互联网公司。那么普通用户如何保护自己免受攻击呢?科技博客网站CNET咨询网络安全专家之后,给出了以下操作建议:
1. 不要在受影响的网站上登录帐号——除非你确信该公司已经修补了这一漏洞。如果该公司没有向你通告相关进展,你可以询问他们的客服团队。
一些网站(包括雅虎和OKCupid)受了影响但表示他们已经解决了全部或部分问题,你如果不放心,可以在http://filippo.io/Heartbleed/上查看各个网站安全与否,如果被标为红色就暂时不要登录。
很多人的第一反应是赶快修改密码,但是网络安全专家的建议是等到网站确认修复再说。
2. 一收到网站的安全修补确认,就立即修改银行、电子邮件等敏感帐号的密码。即便你采用了两步认证(即在密码之外多一重验证信息),我们也推荐你修改密码。
3. 不要不好意思联系掌握你的数据的小企业以确保个人信息安全。雅虎和Imgur等知名公司当然知道这个问题,但是一些小企业可能还没发现它,所以你要积极主动地维护个人信息安全。
4. 密切关注未来数日内的财务报告。因为攻击者可以获取服务器内存中的信用卡信息,所以要关注银行报告中的陌生扣款。
但是,即便按照上述方法操作,网页浏览活动也依然存在一定风险。据说Heartbleed甚至能影响追踪网站用户活动的浏览器Cookie,所以只访问不登录也有风险。
雅虎一度受到了影响,但该公司表示雅虎主页、搜索、财经、体育、美食、科技、Flickr和Tumblr等主要产品已经“成功进行了恰当的更正”。不过雅虎的一位女发言人表示,雅虎依然在努力修复旗下的其他站点。这不是雅虎第一次出现安全问题——今年1月,雅虎曾经由于有人企图攻击第三方数据库而不得不重设部分电子邮件用户的密码。
因为社交新闻Reddit而走红的图片分享网站Imgur表示“出于安全考虑已经作废了Cookie等敏感数据,并且正在小心处理”,而约会网站OKCupid则表示“已经完全解决了问题”。
Heartbleed风波过后,一大问题是互联网公司会否改变它们的安全措施。很多大型互联网公司都已经转向了PFS(完全正向保密)技术——它能让密钥的保存时间变得很短,是未来的一个发展方向。
