複製鏈接
請複製以下鏈接發送給好友

心血漏洞

鎖定
心血漏洞,是一種網絡漏洞病毒名稱,也叫心臟流血漏洞。這個名為Heartbleed的漏洞最早由谷歌研究員尼爾·梅塔(Neel Mehta)發現,它可從特定服務器上隨機獲取64k的工作日誌,整個過程如同釣魚,攻擊可能一次次持續進行,大量敏感數據可能泄露。權威發佈該漏洞信息的網站Heartbleed.com,已經詳細發佈了有關這一漏洞的原理以及修復方法。
類似的互聯網安全漏洞曾發生過一起。一個由JAVA Struts 2引發的漏洞出現,導致“用JAVA Struts 2的這個結構來開發的程序會面臨被黑客入侵”。安全漏洞比較常見。業內出現過一個由JAVA Struts 2引發的漏洞出現,是一次由程序語言引發的漏洞事件,主要針對的也是電商網站,對銀行造成了重大威脅。而這一次爆發的漏洞,之所以命名為”心血漏洞“或者“心臟出血漏洞“,根本原因是基本的安全通信方式出了問題。 [1] 
中文名
心血漏洞
實    質
網絡漏洞病毒
引    發
JAVA Struts 2
針    對
電商網站

目錄

心血漏洞原理

SSL安全套接層(Secure Sockets Layer,SSL)是一種安全協議,是在通信的時候進行加密傳輸的協議。由網景公司(Netscape)推出首版Web瀏覽器的同時推出。
舉個很通俗的例子來説明:當我們要找人送信,這封信如果你明文寫的,在傳輸過程當中就有人能夠打開這封信,能夠讀到信件的內容。從古代開始,人們開始對信做“秘文”的處理,沒有密碼對照表的人看不懂(這和地下黨潛伏時期使用的密電道理一樣)。在計算機的通信領域,有同樣的加密技術。我在傳輸的時候把這個“信”——比如在網絡上傳輸出去的時候,對內容加密,到接受端再被解開,大家做加密的時候要有一個協議,類似要商量好“我送過去是什麼東西”,你在接受的時候再解密——這就產生了SSL協議
而這個協議,最終在計算機世界裏面得有人把它寫成程序供大家使用。隨着開源軟件逐漸流行,有人做了OpenSSL的開源軟件,所以OpenSSL是在互聯網裏面被廣泛採用的用來做網絡加密通信的一款軟件。
很多廠商都使用了OpenSSL軟件進行加密,包括國際上著名的網絡設備廠商,這次無一例外也“中招”了;國產用户,除了比較清楚自己在哪些網站使用了OpenSSL的東西,還有部分VPN設備也用了OpenSSL的代碼(做了功能上的擴充或者性能上的增強),所以部分硬件、盒子也可能受到影響,因為設備中的供應商可能採用了OpenSSL協議。

心血漏洞危害

用户在網絡上選擇做加密通信的時候,認為我傳輸的東西是比較關鍵的,比如我的用户名和口令、信用卡卡號、銀行卡號還有支付密碼等。甚至有一些見不得人的東西比如豔照之類的,通過加密郵件加密,是比較常見的加密通信。
在電商網站和網銀系統,基本上採用的協議也是SSL。原因是,SSL協議在過去被使用的過程中被驗證是比較可靠的,協議本身比較安全,協議中每一次密鑰是動態變化的等等,具有一系列的安全機制。簡言之,黑客攻擊類似的網站、系統,辦法就是“攻擊服務器,把秘鑰套出來”。不過,黑客是否能成功獲取加密的私鑰,安全領域各方還存在爭論。
第一、一旦危害造成,絕不會像過去的漏洞那麼簡單。
也就是説,軟件開發者或者安全專家把這個漏洞補了之後不再發生,就萬事大吉了——這件事的預測這件事的首尾比較長,這件事的攻擊方法在4月7號被之前應該流傳一段時間,美國一個網站一週之前就修復了這個,也就是他們有人知道了這個信息提前修復了。
在黑客裏面有人得到了這個攻擊方法,在4月7號這件事公佈出來之前,有可能有黑客在互聯網上掃描和收集過這些信息,它就把收集的一塊塊的64K、64K的數據收集,然後利用,危害和侵害是最後產生的。比如我拿了陳濤(音)的卡號和支付密碼,我不見得立馬取錢,他就賭他不知道這件事情,他可能不會及時的改密碼,我過半個月取,這時候大家的警惕心就下來了,或者我用其它網站的賬號慢慢再黑上去,再去拿東西,這個事往後處理的時間和影響造成的危害會慢慢暴露。
第二、因為OpenSSL的VPN服務過去做得比較成功,所以用户眾多,影響面比較廣。
工程師查到一個來自北京聯通的IP在掃描器設備,而掃出來之後返回的結果是有問題的。相關人員檢測到這件事之後,向北大網絡中心的人詢問,對方稱,昨天就發現了,因為是一個VPN設備於是聯繫了廠商,廠商一直沒有給回覆。問題就來了:受到漏洞影響的設備廠商,往往反應速度不夠快。事實上,解決漏洞問題的方法應是“軟件升級”,而廠商無法及時提供一個版本修復漏洞,供用户升級,只好給出“降級”的建議。
第三,還會有更加深遠的影響。
因為OpenSSL這個產品,別人在使用它的時候,不僅僅把它當做一個獨立的軟件來用,還有把它當做基礎模塊來用。就是我建造房子的時候,我就用了這種磚,把這個房子砌起來,認為這塊磚比較結實,結果我們發現這塊磚是豆腐渣,它中間有重大的問題,也塊磚某天在某種壓力之下可能就碎了,尤其這種磚被用來建不同的房子都不知道。

心血漏洞影響範圍

中國範圍內受到此次漏洞影響的的服務器接近三萬台。在全球大概掃描出來4000萬台服務器開了SSL的服務,在中國開通SSL服務的機器,其中,中國大約有3萬台左右的服務器裝了OpenSSL軟件,大概有3萬台服務器受影響。

心血漏洞應對

最需要知道的兩個事實:一、淘寶、支付寶已經確認進行了修復;二、在確認登陸網站做過修復後,修改密碼是最直接有效的辦法。
網站要趕快做升級OpenSSL。原來是OpenSSL0.1G之前的版本,大網站反映比較快,基本上昨天晚上連夜升級了,但是中小一點的網站,比如像政府的機構,它的行動會慢一些,還有一大半沒有升級,網站升級,企業要檢測自己的東西有沒有問題,有的話自己能升的就升,不行找服務商,實在不行我們也開了熱線電話,我們工程師會指導大家怎麼升級。
對於個人,如果你登陸過需要輸入登陸賬號、或者網銀的網站,接下來最好的方式就是查看一下,是否軟件和漏洞有修復。比如像淘寶、支付寶之類的,我們已經確認這些站已經昨天晚上修復了。對於依然將長期使用這些網站的個人來説,最徹底的辦法就是修改密碼——但是不能先急着把所有的密碼改了,先看這個站點有沒有把所有出問題的部分修復好,如果已經把漏洞都補了,用户再去修改密碼,對個人防護來説這是最有效的方法。 [2] 
參考資料