heartbleed漏洞事件:可怕的不是公开的漏洞,而是未公开的漏洞
时间:2022-05-25 00:12:01 | 来源:网络营销
时间:2022-05-25 00:12:01 来源:网络营销
4月8日,对于互联网界似乎是不平常的一天。这一天,一个代号“心脏出血”的重大互联网安全漏洞被国外黑客曝光。随着65.49.2.178事件(具体可查看亿企邦发布的《65.49.2.178事件:专家呼吁中国应尽快建立DNS监控系统》相关介绍)发生还不到3个月的时间,黑客们和网络安全漏洞的检测者们又都度过了一个不眠之夜。
其实在4月7日这个细节公布之后,4月8日国内就开始对这个进行了应急,到下午的时候,比如说有些互联网公司,像百度、360、腾讯、阿里他们的应急团队就开始进行大面积的修补,但是这个修补过程实际上并不会说有那么快。
1、基础安全协议的“心脏出血” 据负责网络安全的专家透露:OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。
OpenSSL是目前互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。可以近似地说,它是互联网上销量最大的门锁。而Sean爆出的这个漏洞,则让特定版本的OpenSSL成为无需钥匙即可开启的废锁。
入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据。假如户主不幸是一个开商店的或开银行的,那么在他这里买东西、存钱的用户,其个人最敏感的数据也可能被入侵者获取。
据一位安全行业人士在亿企邦上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
因此,发现者们给这个漏洞起了个形象的名字:heartbleed,心脏出血。这一夜,互联网的安全核心,开始滴血。
2、关于“心脏出血”漏洞的特点 今天,在“心脏出血”事件过去2天之后,我们再研究这个漏洞细节后发现它确实是与众不同的,如同网友调侃到的:“以前房子塌了都是因为建筑本身是豆腐渣工程,而这次我们知道原来脚下的地球也可能是豆腐渣工程,没事会给你来个大地震。”
之所以安全界人士不吝自己的夸张之词来形容这个漏洞,亿企邦觉得主要是因为:
(1)、影响范围巨大 仅仅是受影响的Nginx和Apache就占据了web server 70%以上的市场。
(2)、易于利用 随机获取用户信息,是攻击的第一步,也几乎是最后一步。只要有攻击工具,无需任何专业知识就可以完成。
(3)、难于检测 攻击所用的心跳包并非是完整的HTTP会话,不会在web server留下日志。
唯一的幸运是,这个漏洞难以让攻击者精确瞄准指定用户,除非能提前获知目标访问的确切时间。攻击的效果就如同对着人群乱开枪。
3、关于攻击代码 HeartBleed(心脏出血)简单的利用手法决定了它可以写脚本来自动化,就在昨天凌晨,Mustafa在Github上发布了批量扫描工具,作为目标的1000个大网站中,Yahoo,Sogou等中招。如下图所示:
随即是更大规模的扫描,截止到昨天凌晨,Alexa前10000的网站中,1300余个中招。
群里有人开始求工具,随即发现攻击代码(也叫exploit)已经公布在了著名的exploit发布网站exploit-db上:
又过了24小时,针对FTP、SMTP和POP3协议的攻击代码也出现了(OpenSSL是一个底层架构,并非只用于HTTP)。攻击代码的放出,意味着“脚本小子”们开始加入这场party,攻击行为的规模会迅速扩大,任何网站都不应该有侥幸心理。
这个漏洞从知晓原理到写出攻击代码,是有一定门槛的。只有少数人懂得利用原理的漏洞也许难以造成大的破坏,但傻瓜化利用工具的大量流传却可以做到。
4、问题的应对与新的问题 目前,ZoomEye仍在持续不断地给全球服务器”体检“,这个过程需要20小时左右。相比之下,仅仅给国内服务器体检需要的时间短得多,仅仅需要22分钟。
目前,专家已经将这份名单提交给CNCERT/CC(国家互联网应急中心),由后者进行全国预警。但是,除了移动、联通等这些大型企业外,CNCERT也没有强制力确保其他公司看到预警内容,最后可能还是需要媒体持续曝光一些“带病”服务器,以此倒逼相关公司重视该漏洞。
而在漏洞修补期间,普通消费者与公司均应该采取相关措施规避风险。对于普通用户来说,专家建议在确认有关网站安全之前,不要使用网银、电子支付和电商购物等功能,以避免用户密码被钻了漏洞的骇客捕获。“一位银行朋友告诉我,他们补上这个漏洞需要两天时间。这两天大家最好就别登录网银了,确认安全后再登。如果已经登录过了,那就考虑换一下密码吧。”
与用户的消极避险不同,相关互联网企业则应该尽快进行主动升级。升级到最新的OpenSSL版本,可以消除掉这一漏洞,这是目前企业最便捷的做法。但在升级后,理论上还应该通知用户更换安全证书(因为漏洞的存在,证书的密钥可能已泄漏),并通知用户尽可能地修改密码。后面这两个措施,企业实施起来会面临很大的代价,也只能通过媒体尽量曝光,让意识到的用户重新下载证书并自行修改密码了。
由于“心脏出血”漏洞的广泛性和隐蔽性,未来几天可能还将会陆续有问题爆出。在互联网飞速发展的今天,一些协议级、基础设施级漏洞的出现,可能会打击人们使用互联网的信心,但客观上也使得问题及时暴露,在发生更大的损失前及时得到弥补。作为身处其中的个人,主动应变、加强自我保护,可能比把安全和未来全部托付出去要负责任一些。
5、漏洞背后的节操 这是一场互联网上罕见规模的“流血事件”。主要受害者,不是以往第三方漏洞事件中易受冲击的中小网站,而是树大招风的大网站。
HeartBleed(心脏出血)是由Google的安全人员首先发现并公布的,这应该是一次“负责任披露”:即先通知厂商,等待厂商发布补丁之后再公开。而我们不禁要问:为什么仍然有这么多大网站成了受害者?
这里首先科普一个概念:1 Day攻击。 一个漏洞的发补丁之日,就是其公开之时。补丁本身就是分析漏洞的最佳依据,黑客会在第一时间通过补丁前后代码的比对分析出漏洞原理,并开发出攻击代码。而这时,可能绝大多数用户还没来得及打上补丁,沦为待宰羔羊。这就是所谓的“1 Day攻击”,前文提到的那些事件,均属此类。
而这个漏洞,仅仅通知作为开发厂商的OpenSSL是远远不够的,后者发布补丁后,1 Day攻击就会开始,漏洞的发现者没有理由不知道这点。他知道漏洞的危害,甚至可以很容易扫描到有哪些网站会受冲击。作为安全责任最大的一方,他做了一个精美的介绍网站,甚至设计了漏洞的logo,而我们不知道,他是否也用过同样的精力通知那些大网站采取临时措施避免攻击。
再说说国内。 “白帽子”这个称呼是给最有节操的黑客的:以研究为目的,发现漏洞会通报厂商修补,以避免被攻击者利用造成损失。
乌云作为中国最大的白帽子漏洞报告平台,给曾经被黑色产业充斥的国内安全界带来了一抹亮色。在这次事件中,却变成了黑客们秀战果的场所。如下图所示:
网站名,漏洞名俱在,漏洞状态中,很多还是“等待厂商处理”,就这样被公开在乌云上颇有“此地无银三百两”的感觉。本人试着扫描了一个,漏洞还在。这就意味着,无数浏览乌云网的人都可能步其后尘,所谓的漏洞报告反而让网站成了聚光灯下的猎物。
如上面这张图所示,不用说你就知道是哪个网站被搞啦!(时至发稿,已经修补)
6、可怕的不是公开的漏洞,而是未公开的漏洞 一个漏洞的公开之日就是死亡倒计时的开始。如以前所有的漏洞事件一样,在它被慢慢补上并淡出人们视线之前,黑客和安全人员都在抓紧最后的时间进行赛跑。
据亿企邦了解,就在前天晚上,Yahoo邮箱服务器被证实有漏洞,不过在凌晨时发现已被修补,其间不知有多少邮箱躺枪了。而还存在一种更可怕的可能:从泄露出的内存数据,有可能还原出SSL证书的私钥(虽然目前还没有人证实能做到这一点),这意味着在他们在付出较大代价得到新签发的证书之前,Yahoo网站的SSL加密将失去意义。通俗的说,你将永远不知道提交给Yahoo的密码有没有在传输中被人截获,甚至无法得知正在访问的那个网站是不是Yahoo真身。
对此,亿企邦也认为,这种时候就算关闭SSL服务也好过放在那让人攻击,Yahoo这树太大了,多拖一分钟都很危险。
也许,这个操心是多余的。一般漏洞在公开之前都会有一段地下流传期,有的漏洞在公开前甚至被地下用过一年。这个漏洞又被用过多久?有多少账号,甚至证书私钥泄露了?细思极恐呀!
亿企邦点评: 程序员有一句名言:It’s not a bug. It’s a feature. ——这不是bug,是功能。
而这句话的黑客版是:It’s not a vulnerability. It’s a backdoor. ——这不是漏洞,是后门。