论文部分内容阅读
4月3日,谷歌安全专家提交了一份针对OpenSSL漏洞的报告,随后于4月7日,OpenSSL宣布有多个版本存在严重内存处理错误,“心脏出血漏洞”浮出水面令世界哗然。据悉国内一些邮箱、社交网络、电商等网站也都受到冲击,约2亿中国网民受影响。虽然各大网站基本上已完成修复,但是这一漏洞于2011年就已渗入OpenSLL中,也就是说这几年来我们一直处于风险之中。我们一度信任的Web服务器、路由器、虚拟机、VPN,甚至客户端软件等都不安全了,即使个人系统上的安全做得再好,也难逃信息泄露的可能。
什么是心脏出血漏洞
心脏出血漏洞可以导致受影响设备中的内存数据溢出,黑客利用此漏洞便可以获取随机溢出的64KB“心跳信号”的数据,这些数据中可能包括密码、加密私钥、网站Cookie等敏感信息。虽然每次只能取得64KB数据,但是攻击者可以保持连接,这样就可以一次次取得新的数据。
心脏出血漏洞刚开始是在Web服务器上被曝光,其后波及到思科、瞻博网络,以及虚拟机VMware、私人网络软件OpenVPN等。现在还不清楚Oracle软件是否也受影响,而且可能已扩展到路由器、手机等其他设备上。
小知识:心跳信号
双方互联的时候,其中一方每隔一段时间就发送一个数据包给另一方,另一方收到数据包后再确定是否回复。这一机制主要是为了确认在长时间不通讯时,探测双方是否还都在线。因为发送的数据包很小,而且固定频率发送很像心脏的搏动,因此取了这么一个形象的名称。
反向心脏出血
心脏出血不只威胁到服务器端,同样危及到客户端程序。一家名为Meldium的账户和密码保护软件公司的负责人表示,此漏洞还可以“反向出血”,套取用户的资料。比如一些恶意网站伪装成正规网站诱骗你访问,然后在你访问时这些恶意网站有可能主动发送心跳请求,如果你使用的浏览器程序(或其他客户端)使用了有缺陷版本的OpenSSL库,那么就会反过来将你内存中溢出的数据发送到恶意网站的服务器上,从而导致信息泄露。
Meldium公司还创建了一个网站,用来在线检测用户所使用的客户端是否存在反向心脏出血漏洞。该网页上有一段说明,“许多组织机构具有发起出站SSL连接的主机(自动更新、获取图像、连接Webhook网址等),这些主机又往往位于防火墙内部,并且因为具有单独的基础架构而依赖不同的SSL,从而很容易遭受反向心脏出血的攻击。”
这家网站列出了易受攻击的客户端,包括传统客户端和开放代理。
★传统客户端,包括浏览器,使用HTTP API的应用程序,通过DVD运行的程序(如Office办公软件),以及iOS和Android上的应用。如果还没有更新OpenSSL,它们很可能受到影响。
★开放代理,指可以被攻击者远程控制的客户端,如社交网络、Dropbox之类的网络共享应用、网页抓取程序等。
一些流行的社交网络的安全性虽然很强大,但是它们的界面却有被利用的漏洞,开放代理可以恶意地诱使你输入某个网址,这种欺骗需要一段时间才能发现。用户往往只盯着服务器的安全,对自身的安全漏洞则关注较少。
小心路由器漏洞
公共及私有网络中的路由器,包括家庭使用的路由器,同样容易被攻破。思科多达65种路由器产品已确认含有心脏出血漏洞,其他产品还在评估中。思科公司最受欢迎的产品,包括Webex Messenger、Jabber client、Cisco IOS XR、Telepresence System 1100、Video Surveillance Media Server Software和 Unified Operations Manager,都被认为易受攻击。
思科发布警报称,“多款思科产品含有心脏出血漏洞,一些未经身份验证的远程攻击者可能会连接到客户端或服务器上,窃取内存中多段64KB的数据。”
瞻博网络也提醒相关产品的用户受到威胁,不过需要登录账户才能获取信息。
心脏出血漏洞带来的反思
只要具有漏洞的OpenSSL版本仍在使用,它的危害就不会停止。现在修订版的OpenSSL已经发布了,但必须部署才能起作用。操作系统供应商及其分销商、家电销售商、独立软件供应商都应该采用这个修复的版本,并且及时通知到用户。
阿姆特尔公司首席执行官PJ Gupta表示,“每家相关的公司都必须修复它,并且一旦修复了代码,就需要及时更换密码。”不过这样就足够了吗?软件开发者Dave Winer不这么认为,他在博客中写道,“很难想象还有更糟糕的事情正在发生,我觉得我们反应得太慢了。如果这是一个单一的系统受损,正确的做法应该是立即下线,直到修复并验证所有的连接点,确认安全后再重新上线。而这样一边修复一边继续使用网络,实际是很危险的事情。”
对于个人用户来对,我们无力抵挡心脏出血漏洞,现在唯一能做的,就是关注自己所使用的网站服务商是否已升级OpenSSL,然后及时修改自己的账户密码。对于还未修复的网站,最好的方法就是不要登录。
什么是心脏出血漏洞
心脏出血漏洞可以导致受影响设备中的内存数据溢出,黑客利用此漏洞便可以获取随机溢出的64KB“心跳信号”的数据,这些数据中可能包括密码、加密私钥、网站Cookie等敏感信息。虽然每次只能取得64KB数据,但是攻击者可以保持连接,这样就可以一次次取得新的数据。
心脏出血漏洞刚开始是在Web服务器上被曝光,其后波及到思科、瞻博网络,以及虚拟机VMware、私人网络软件OpenVPN等。现在还不清楚Oracle软件是否也受影响,而且可能已扩展到路由器、手机等其他设备上。
小知识:心跳信号
双方互联的时候,其中一方每隔一段时间就发送一个数据包给另一方,另一方收到数据包后再确定是否回复。这一机制主要是为了确认在长时间不通讯时,探测双方是否还都在线。因为发送的数据包很小,而且固定频率发送很像心脏的搏动,因此取了这么一个形象的名称。
反向心脏出血
心脏出血不只威胁到服务器端,同样危及到客户端程序。一家名为Meldium的账户和密码保护软件公司的负责人表示,此漏洞还可以“反向出血”,套取用户的资料。比如一些恶意网站伪装成正规网站诱骗你访问,然后在你访问时这些恶意网站有可能主动发送心跳请求,如果你使用的浏览器程序(或其他客户端)使用了有缺陷版本的OpenSSL库,那么就会反过来将你内存中溢出的数据发送到恶意网站的服务器上,从而导致信息泄露。
Meldium公司还创建了一个网站,用来在线检测用户所使用的客户端是否存在反向心脏出血漏洞。该网页上有一段说明,“许多组织机构具有发起出站SSL连接的主机(自动更新、获取图像、连接Webhook网址等),这些主机又往往位于防火墙内部,并且因为具有单独的基础架构而依赖不同的SSL,从而很容易遭受反向心脏出血的攻击。”
这家网站列出了易受攻击的客户端,包括传统客户端和开放代理。
★传统客户端,包括浏览器,使用HTTP API的应用程序,通过DVD运行的程序(如Office办公软件),以及iOS和Android上的应用。如果还没有更新OpenSSL,它们很可能受到影响。
★开放代理,指可以被攻击者远程控制的客户端,如社交网络、Dropbox之类的网络共享应用、网页抓取程序等。
一些流行的社交网络的安全性虽然很强大,但是它们的界面却有被利用的漏洞,开放代理可以恶意地诱使你输入某个网址,这种欺骗需要一段时间才能发现。用户往往只盯着服务器的安全,对自身的安全漏洞则关注较少。
小心路由器漏洞
公共及私有网络中的路由器,包括家庭使用的路由器,同样容易被攻破。思科多达65种路由器产品已确认含有心脏出血漏洞,其他产品还在评估中。思科公司最受欢迎的产品,包括Webex Messenger、Jabber client、Cisco IOS XR、Telepresence System 1100、Video Surveillance Media Server Software和 Unified Operations Manager,都被认为易受攻击。
思科发布警报称,“多款思科产品含有心脏出血漏洞,一些未经身份验证的远程攻击者可能会连接到客户端或服务器上,窃取内存中多段64KB的数据。”
瞻博网络也提醒相关产品的用户受到威胁,不过需要登录账户才能获取信息。
心脏出血漏洞带来的反思
只要具有漏洞的OpenSSL版本仍在使用,它的危害就不会停止。现在修订版的OpenSSL已经发布了,但必须部署才能起作用。操作系统供应商及其分销商、家电销售商、独立软件供应商都应该采用这个修复的版本,并且及时通知到用户。
阿姆特尔公司首席执行官PJ Gupta表示,“每家相关的公司都必须修复它,并且一旦修复了代码,就需要及时更换密码。”不过这样就足够了吗?软件开发者Dave Winer不这么认为,他在博客中写道,“很难想象还有更糟糕的事情正在发生,我觉得我们反应得太慢了。如果这是一个单一的系统受损,正确的做法应该是立即下线,直到修复并验证所有的连接点,确认安全后再重新上线。而这样一边修复一边继续使用网络,实际是很危险的事情。”
对于个人用户来对,我们无力抵挡心脏出血漏洞,现在唯一能做的,就是关注自己所使用的网站服务商是否已升级OpenSSL,然后及时修改自己的账户密码。对于还未修复的网站,最好的方法就是不要登录。