心血漏洞

心血漏洞

網絡漏洞病毒名稱
心血漏洞,是一種網絡漏洞病毒名稱,也叫心髒流血漏洞。這個名為Heartbleed的漏洞最早由谷歌研究員尼爾·梅塔(Neel Mehta)發現,它可從特定服務器上随機獲取64k的工作日志,整個過程如同釣魚,攻擊可能一次次持續進行,大量敏感數據可能洩露。權威發布該漏洞信息的網站Heartbleed.com,目前已經詳細發布了有關這一漏洞的原理以及修複方法。類似的互聯網安全漏洞曾發生過一起。一個由JAVA Struts 2引發的漏洞出現,導緻“用JAVA Struts 2的這個結構來開發的程序會面臨被黑客入侵”。安全漏洞比較常見。業内出現過一個由JAVA Struts 2引發的漏洞出現,是一次由程序語言引發的漏洞事件,主要針對的也是電商網站,對銀行造成了重大威脅。而這一次爆發的漏洞,之所以命名為”心血漏洞“或者“心髒出血漏洞“,根本原因是基本的安全通信方式出了問題。
    中文名:心血漏洞 外文名:Heartbleed 适用領域: 所屬學科: 實質:網絡漏洞病毒 引發:JAVA Struts 2 針對:電商網站

原理

SSL安全套接層(Secure Sockets Layer,SSL)是一種安全協議,是在通信的時候進行加密傳輸的協議。由網景公司(Netscape)推出首版Web浏覽器的同時推出。

舉個很通俗的例子來說明:當我們要找人送信,這封信如果你明文寫的,在傳輸過程當中就有人能夠打開這封信,能夠讀到信件的内容。從古代開始,人們開始對信做“秘文”的處理,沒有密碼對照表的人看不懂(這和地下黨潛伏時期使用的密電道理一樣)。在計算機的通信領域,有同樣的加密技術。我在傳輸的時候把這個“信”——比如在網絡上傳輸出去的時候,對内容加密,到接受端再被解開,大家做加密的時候要有一個協議,類似要商量好“我送過去是什麼東西”,你在接受的時候再解密——這就産生了SSL協議。

而這個協議,最終在計算機世界裡面得有人把它寫成程序供大家使用。随着開源軟件逐漸流行,有人做了OpenSSL的開源軟件,所以OpenSSL是在互聯網裡面被廣泛采用的用來做網絡加密通信的一款軟件。

很多廠商都使用了OpenSSL軟件進行加密,包括國際上著名的網絡設備廠商,這次無一例外也“中招”了;國産用戶,除了比較清楚自己在哪些網站使用了OpenSSL的東西,還有部分VPN設備也用了OpenSSL的代碼(做了功能上的擴充或者性能上的增強),所以部分硬件、盒子也可能受到影響,因為設備中的供應商可能采用了OpenSSL協議。

危害

用戶在網絡上選擇做加密通信的時候,認為我傳輸的東西是比較關鍵的,比如我的用戶名和口令、信用卡卡号、銀行卡号還有支付密碼等。甚至有一些見不得人的東西比如豔照之類的,通過加密郵件加密,是比較常見的加密通信。

電商網站和網銀系統,基本上采用的協議也是SSL。原因是,SSL協議在過去被使用的過程中被驗證是比較可靠的,協議本身比較安全,協議中每一次密鑰是動态變化的等等,具有一系列的安全機制。簡言之,黑客攻擊類似的網站、系統,辦法就是“攻擊服務器,把秘鑰套出來”。不過,黑客是否能成功獲取加密的私鑰,安全領域各方還存在争論。

第一、一旦危害造成,絕不會像過去的漏洞那麼簡單。

也就是說,軟件開發者或者安全專家把這個漏洞補了之後不再發生,就萬事大吉了——這件事的預測這件事的首尾比較長,這件事的攻擊方法在4月7号被之前應該流傳一段時間,美國一個網站一周之前就修複了這個,也就是他們有人知道了這個信息提前修複了。

在黑客裡面有人得到了這個攻擊方法,在4月7号這件事公布出來之前,有可能有黑客在互聯網上掃描和收集過這些信息,它就把收集的一塊塊的64K、64K的數據收集,然後利用,危害和侵害是最後産生的。比如我拿了陳濤(音)的卡号和支付密碼,我不見得立馬取錢,他就賭他不知道這件事情,他可能不會及時的改密碼,我過半個月取,這時候大家的警惕心就下來了,或者我用其它網站的帳号慢慢再黑上去,再去拿東西,這個事往後處理的時間和影響造成的危害會慢慢暴露。

第二、因為OpenSSL的VPN服務過去做得比較成功,所以用戶衆多,影響面比較廣。

工程師查到一個來自北京聯通的IP在掃描器設備,而掃出來之後返回的結果是有問題的。相關人員檢測到這件事之後,向北大網絡中心的人詢問,對方稱,昨天就發現了,因為是一個VPN設備于是聯系了廠商,廠商一直沒有給回複。問題就來了:受到漏洞影響的設備廠商,往往反應速度不夠快。事實上,解決漏洞問題的方法應是“軟件升級”,而廠商無法及時提供一個版本修複漏洞,供用戶升級,隻好給出“降級”的建議。

第三,還會有更加深遠的影響。

因為OpenSSL這個産品,别人在使用它的時候,不僅僅把它當做一個獨立的軟件來用,還有把它當做基礎模塊來用。就是我建造房子的時候,我就用了這種磚,把這個房子砌起來,認為這塊磚比較結實,結果我們發現這塊磚是豆腐渣,它中間有重大的問題,也塊磚某天在某種壓力之下可能就碎了,尤其這種磚被用來建不同的房子都不知道。

影響範圍

中國範圍内受到此次漏洞影響的的服務器接近三萬台。在全球大概掃描出來4000萬台服務器開了SSL的服務,在中國開通SSL服務的機器,其中,中國大約有3萬台左右的服務器裝了OpenSSL軟件,大概有3萬台服務器受影響。

服務提供商和個人,該如何應對

最需要知道的兩個事實:一、淘寶、支付寶已經确認進行了修複;二、在确認登陸網站做過修複後,修改密碼是最直接有效的辦法。

網站要趕快做升級OpenSSL。原來是OpenSSL0.1G之前的版本,大網站反映比較快,基本上昨天晚上連夜升級了,但是中小一點的網站,比如像政府的機構,它的行動會慢一些,還有一大半沒有升級,網站升級,企業要檢測自己的東西有沒有問題,有的話自己能升的就升,不行找服務商,實在不行我們也開了熱線電話,我們工程師會指導大家怎麼升級。

對于個人,如果你登陸過需要輸入登陸賬号、或者網銀的網站,接下來最好的方式就是查看一下,是否軟件和漏洞有修複。比如像淘寶、支付寶之類的,我們已經确認這些站已經昨天晚上修複了。對于依然将長期使用這些網站的個人來說,最徹底的辦法就是修改密碼——但是不能先急着把所有的密碼改了,先看這個站點有沒有把所有出問題的部分修複好,如果已經把漏洞都補了,用戶再去修改密碼,對個人防護來說這是最有效的方法。

相關詞條

相關搜索

其它詞條