OpenSSL 的 Heartbleed 漏洞的影响到底有多大?

SSL 可能是大家接触比较多的安全协议之一,看到某个网站用了 https:// 开头,就是采用了 SSL 安全协议。而 OpenSSL,则是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及 SSL 协议,并提供了丰富的应用程序供测试或其它目的使用。OpenSSL 是一种开放源码的 SSL 实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。换句话讲,OpenSSL 其实就是互联网上销量最大的锁。

而就在2014 年 4 月 8 日,XP 宣布正式停止服务的日子,也是 OpenSSL 爆出大漏洞的日子,这把锁出现了问题。Google 和网络安全公司 Codenomicon 的研究人员发现,OpenSSL Heartbeat 模块存在一个 BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致 memcpy 把 SSLv3 记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的 OpenSSL 服务器内存中长达 64K 的数据。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。

这次爆出的这个漏洞,让特定版本的 OpenSSL 成为无需钥匙即可开启的废锁;入侵者每次可以翻检户主的 64K 信息,只要有足够的耐心和时间,他可以翻检足够多的数据,拼凑出户主的银行密码私信等敏感数据;假如户主不幸是一个开商店的或开银行的,那么在他这里买东西、存钱的用户,其个人最敏感的数据也可能被入侵者获取。大家经常访问的支付宝微信淘宝等网站也存在这个漏洞。而更有网友测试了世界最流行的 1000 家网站,结果 30%~40% 的都有问题。发现者们给这个漏洞起了个形象的名字:Heartbleed,心脏出血。这一夜,互联网的安全核心,开始滴血。

除此之外,这个漏洞受到这么多人重视还有别的原因:
这个漏洞已长时间存在,据说早在 2012 年就被挖掘出来,直到 4 月 8 日才被曝出。所以很难估计到底有多少网站,多少用户的资料被窃取。
这个漏洞很容易被黑客利用。
不留痕迹。这可能是最关键的问题,网站无法知道是谁窃取了用户信息,很难追究法律责任。

这一漏洞的官方名称为 CVE-2014-0160。该漏洞影响了 OpenSSL 1.0.1 版至 1.0.1f 版。而 1.0.1 之前更老的版本并没有受到影响。OpenSSL 已经发布了 1.0.1g 版本,以修复这一问题,但网站对这一软件的升级还需要一段时间。不过,如果网站配置了一项名为“perfect forward secrecy”的功能,那么这一漏洞的影响将被大幅减小。该功能会改变安全密钥,因此即使某一特定密钥被获得,攻击者也无法解密以往和未来的加密数据。

漏洞爆发后,甲方公司运维、安全开始紧急预警修复升级,乙方公司忙着帮互联网去测试有多少网站受影响以及推出检测脚本,网民们却不知情。只能傻傻的看着微博满屏的 OpenSSL 爆漏洞了!黑客们开始搞起来吧!但这确实是一个不眠之夜,太多的网站受到影响,很多用户不知情仍然在访问着老虎嘴中的站点。 懂技术的人开始研究这个漏洞并编写起自己的检测脚本以及嗅探程序,不懂的小黑客们也照猫画虎的玩起这个漏洞,归根结底受害的还是蒙在鼓里的人们。

特别说明下:现在大家的聚焦都在 HTTPS 网站(443 端口),实际上还有更多敏感服务受影响,我们的研究也是在不断持续推进!不可草率判断!!

1. HTTPS 服务(443端口)

来自 @ZoomEye 的统计(4月8日):

全国 443 端口:1601250,有33303 个受本次 OpenSSL 漏洞影响!注意这只是 443 端口。
全球 443 端口,至少受影响有71 万量级。(实际应该大于这个,待修正)。

ZoomEye OpenSSL漏洞国内的趋势监控(随时更新,仅是 443 端口):

第一天:33303 台服务器(说明:国内是4月8日爆发的,当天的影响服务器情况!)
第二天:22611 台服务器(说明:辛苦一线白帽子与运维人员等的辛苦熬夜,减了 1/3!而且都是知名业务,如百度、360、微信、陌陌、淘宝等,这点非常赞!)
第三天:17850 台服务器(说明:又减少了近 500 台服务器,我估计剩下的都不那么大,不过不排除有很重要的!)
第四天:15661 台服务器(说明:相比第一天减少了 1/2!不过减少趋势慢了……)

老外有个基于全球 TOP1000 的粗暴根域 OpenSSL 探测列表,仅供参考:
heartbleed-masstest/top1000.txt at master · musalbas/heartbleed-masstest · GitHub
说这个粗暴是因为:仅对「根域」。

2. 邮件服务

来自 @ZoomEye 的统计(4月11日):

最新全球受影响服务及主机 SMTP Over SSL:147292台;POP3 over SSL:329747台;IMAP over SSL:353310台。
实测可以获取某些邮件服务的敏感数据。

3. 可视化

大家可以关注 ZoomEye 专门针对 OpenSSL 漏洞制作的全球监控页面(在 Chrome 或基于 Webkit 内核的浏览器下,效果最佳,仅是 443 端口):
OpenSSL Heartbleed Worldwide Vulnerable Distribution
ZoomEye 团队未来会持续完善这个页面,给大家一个专业、公正的评判结果,辛苦 ZoomEye 团队的几个小伙伴辛苦突击!这个漏洞的全球趋势图,会在一周后数据量足够的情况下给出。

如何应对该漏洞?

  • 个人用户防御建议: 各个网站修复这个漏洞都可能需要 1-3 天的时间,有些反应较为迅速的网站如淘宝,微信等可能修复的更快。只要等有漏洞的网站修复完成就能登陆了。当然,若还是不放心,你还可以点击这里或者点击这里查看自己要登陆的网站是否安全。对已经不小心登陆过这些网站的用户,可以修改一下密码。 除此之外,密切关注未来数日内的财务报告。因为攻击者可以获取服务器内存中的信用卡信息,所以要关注银行报告中的陌生扣款。
  • 企业防御建议: 升级到最新版本 OpenSSL 1.0.1g。无法立即升级的用户可以以 -DOPENSSL_NO_HEARTBEATS 开关重新编译 OpenSSL。而 1.0.2-beta 版本的漏洞将在 beta2 版本修复。当然,升级后别忘记提醒用户更改密码、提醒云服务使用者更新 SSL 密钥重复证书。

截止 2014 年 4 月 12 日,自 Heartbleed 漏洞被爆出已经过去了四天,下面整理了报告存在漏洞的企业列表与其修复情况,大型互联网企业均已修复。接下来建议童鞋们对比列表厂商酌情对自己帐号密码进行修改了,那些知名的大网站,现在去修改密码会靠谱很多,因为这些大网站几乎修复完全了。

how-much-effect-the-openssl-heartbleed-bug-has-1

refer:
http://www.evilsay.cc/index.php/archives/119/
http://www.36kr.com/p/211033.html
http://www.zhihu.com/question/23328658

暂无评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注

验证码已失效,请刷新验证码