保密通讯核心SSL遭遇Heartbleed漏洞
2014-04-11 07:54:17 
阿炯
尽管很多普通互联网用户并未察觉,但从这个星期一开始,互联网正经历一场“大地震”,因为这一天谷歌的研究人员和芬兰一家安全公司Codenomicon宣布发现了被视为互联网安全通讯基础的SSL(安全套接层)安全协议出现了巨大的安全裂痕,被超过2/3网站用来实现这一协议软件的开源软件OpenSSL存在一个漏洞,这个漏洞让攻击者可以窃取用户以为加密传输的用户名、密码、信用卡号等敏感信息。
越来越多的网站使用加密代码来保护如用户名、密码和信用卡号等数据,这能够防止黑客通过网络盗取个人信息。这种加密协议被称为SSL(Secure Sockets Layer安全套接层)或TLS(Transport Layer Security Protocol安全传输层协议)。当一个网站使用这种安全协议,浏览器中的地址栏旁会出现挂锁图标。
编写加密代码十分复杂,所以很多网站使用一种开源的免费安全协议,即OpenSSL。如亚马逊,该公司在其网站上建议,云计算服务Amazon Web Services的用户在为网页加密时使用OpenSSL。
OpenSSL存在的缺陷在于,使用某些最新OpenSSL版本的Web服务器会存储一些不受内存保护的数据。黑客可以获取这些数据,重建有关用户或密钥的信息,进而监视过去或将来的加密数据。
图:“心脏出血”( 这一logo 由发现这一漏洞的芬兰公司设计)给全球互联网带来了巨大的冲击。
要理解这个被称为Heartbleed(中文暂译“心脏出血”,这一漏洞的确可以被认为这直接击中互联网的核心)的漏洞为何引发这么大的关注,需要首先厘清一下什么是SSL协议,这一协议又为何对互联网安全如此重要。
何为SSL,它为何如此重要?
即使非“技术控”的普通互联网用户也知道如果要在造访的网站输入敏感的个人信息,特别是个人金融信息,比如在购物网站上输入个人的信用卡信号的时候,需要留意这个网站是否被加密,而加密的标志就是浏览器特定位置一个锁紧的锁头标志。
这个锁头意味着用户在这个网页上输入的任何信息都是经过一种复杂的SSL/TSL方式进行加密传输,只有发送者和发送者意图发送给的服务器可以看到这些信息。
这一点非常重要,因为互联网开放的架构,用户发送的任何信息都要经过很多网络上不同的节点(服务器)进行接力传输,因此一个从美国用户发给美国服务器的信息被在中国的服务器中转并非什么奇事。
要保证这些信息不被“有心人士”偷窥就要保证这些信息是加密的——当然SSL还有其他技术层面的东西来确保传输信息的可靠性,并非简单的加密。但简单的讲,SSL可以被理解为互联网上通用的“锁头”,所有的加密通讯都会使用到这把“锁头”,可以被称为互联网上互信的“基石”。
漏洞为何让互联网“心脏”出血?
而星期一公布的漏洞意味着这个被几乎所有互联网用户所信任的“锁头”本身是不可靠的。当然并非所有的锁头都不可靠,而是其中特定“锁匠”——OpenSSL软件——所制造的“锁头”不可靠。但问题是据信互联网上2/3的服务器是使用通过这个软件制造的锁头。
要全部理解这个漏洞显然不涉及技术细节是不可能的,但大致来说就是这个软件的最新版本(和通常漏洞涉及旧版本不同!)出现了一个微小但致命的编程漏洞,这个漏洞涉及一个被称为“心跳”(Heartbeat)的“扩展”,而漏洞让攻击者让每次“心跳”后可以读取服务器一定数量的内存,随着一次次的“心跳”,服务器最核心的内存信息就像“流血”(bleeding)一样被攻击者“吸走”,这也是这个漏洞名字的由来。
形象的说,就好像本来其他人送来的“加密包裹”应该关上门在不被别人打开的情况下开包检查,但这个漏洞打开了一扇不为主人所知的窗口,让外人可以一窥包裹中的内容,同时外人也可以看到主人打开这个包裹的钥匙,这意味着未来“偷窥者”不必每次在主人门口偷看(次数多了容易引起注意),而是在中间过程(记住这个包裹要经过很多地方)把包裹截取下来——在数字世界里面,相当于把包裹“复制”一份,然后自己不慌不忙的打开来看。
问题有多严重,如何应对?
首先一点,别被2/3服务器使用问题软件这个数字吓到,使用OpenSSL的更倾向于是独立和小型的网站,有“好事者”在漏洞被公布后的4月8日美东时间下午4时对在互联网排名网站Alex所列出的全球1000个最大的网站进行测试,发现只有48家网站受到影响,440家网站并不存在这个漏洞(当然不排除他们在第一时间修补漏洞的可能)。。
在为数不多受到影响的大网站中,雅虎(Yahoo.com)无疑是最出名的,这家公司近期频频在网络安全议题上被负面聚焦,该公司旗下的著名图片分享网站flickr.com也受到漏洞的影响。不过该公司随后声明已经对主要的服务进行了紧急修补。
但考虑到这一漏洞其实已经存在了至少两年(从2012年3月openSSL发布新版本后),目前的测试结果对过去两年中漏洞是否被黑客利用并无太大参考价值。目前还没有发现有这一漏洞已经被利用的迹象——如果有人通过这一漏洞大规模的窃取个人密码信息,可能会有很多关于自己银行帐户被“清空”的消息。
但安全专家警告个人钱财没有失窃并不意味着漏洞没有被发现或利用,因为有一群攻击者他们关注的不是某人银行帐户的钱财,而是更加敏感的信息,他们就是各个国家的情报部门,对于这些部门来说,他们最希望的是这个漏洞永远不要被发现。
总部在波士顿的互联网安全公司Rapid7的全球安全战略专家Trey Ford表示对于诸如美国国安局和中共国家安全部这些部门是否已经在利用这个漏洞进行情报收集这个问题,除非他们自己出面承认,否则外界基本上是无法给出确定的答案的。
Ford表示Heartbleed漏洞的一个危险之处在于攻击者不会在服务器上留下任何痕迹,因此如果有人发动了攻击,甚至无法证实攻击发生了。因此目前唯一能做的是对受影响的服务器尽快打“补丁”,同时重新生成密钥(这些密钥可能已经在不知名的地方被储存着),而作为用户需要做的是更换所有的密码,至少是对那些传输和储存自己财务信息的网站,但前提是服务器必须预先打好补丁。
OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。
OpenSSL是目前互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。可以近似地说,它是互联网上销量最大的门锁。而Sean爆出的这个漏洞,则让特定版本的OpenSSL成为无需钥匙即可开启的废锁;入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据;假如户主不幸是一个开商店的或开银行的,那么在他这里买东西、存钱的用户,其个人最敏感的数据也可能被入侵者获取。
心脏出血漏洞对普通用户影响
针对“心脏出血”漏洞的影响,各大媒体对一些常见问题进行了总结和解答,下面选译了一些相关的内容。
问:我该如何应对这一漏洞?
答:作为普通用户基本上没有太多可以做的,但安全专家建议在未来几天的时间内避免登录在线购物、银行网站和其他需要输入敏感数据,如姓名、地址、信用卡号等的网站。如果需要,最好预先确认相关网站已经修补这一漏洞。全球最大的购物网站亚马逊(Amazon.com)已经表示其网站不受这一漏洞影响。安全专家建议普通用户不要大意,因为SSL在现代互联网上的重要作用,修补这一漏洞涉及的面非常广,也相当复杂,并非简单的打一个安全补丁这么简单,很多网站可能要经过很长时间才能彻底解决相关的问题。
对于普通用户来说,余弦建议在确认有关网站安全之前,不要使用网银、电子支付和电商购物等功能,以避免用户密码被钻了漏洞的骇客捕获。
问:我的手机、电脑等设备是否需要打“补丁”?
答:简单的说,如果你只是使用你的设备浏览互联网,你不需要在自己的设备上进行任何操作,受影响的软件OpenSSL只是安装在你所访问的服务器上。所以你能做的就是静静的等待服务器那里修补这一漏洞,并在这之后修改你的密码。
当然,如果你的手机和设备上运行了一些依赖SSL协议的应用,一个比较普遍的例子是用来连接公司内部网络的VPN(虚拟专属网络)客户端,则你可能需要进行更新,以免本应加密的信息被截取,一些应用已经开始发布修补漏洞的更新。
问:在哪些网站上我需要更新密码?
答:安全专家的建议是对所有网站进行更新,但一些最著名的公司已经对外作出安全“保证”,他们的用户无需更换密码。其中包括谷歌,该公司发言人对路透社说:“我们已经提前修补了这个漏洞,因此谷歌用户不必更改密码”。
问:使用ssl的企业要做些什么
答:相关互联网企业则应该尽快进行主动升级。升级到最新的OpenSSL版本,可以消除掉这一漏洞,这是目前企业最便捷的做法。但在升级后,理论上还应该通知用户更换安全证书(因为漏洞的存在,证书的密钥可能已泄漏),并通知用户尽可能地修改密码。后面这两个措施,企业实施起来会面临很大的代价,也只能通过媒体尽量曝光,让意识到的用户重新下载证书并自行修改密码了。广大站长尽快将OpenSSL升级至1.0.1g版本,以修复该漏洞。相关的大型互联网企业包括阿里巴巴、腾讯等多个大型互联网服务商通过官微宣布,已经修复了该OpenSSL漏洞。
亚马逊的发言人仅表示Amazon.com不受影响,但拒绝给出更多细节。不过雅虎已经呼吁所有使用其服务的用户更新他们密码。其他被证实受影响的知名网站包括图片分享网站imgur.com和flickr.com。
互联网陷“乱局” 国家黑客在行动
在各大公司的IT专家忙于修补“心脏出血”之际,互联网安全专家发现包括国家资助的黑客团体在内,不少人已经开始大规模的在互联网上寻找存在安全漏洞的服务器。
据路透社报导,杀毒软件公司卡巴斯基(Kaspersky)的研究者Kurt Baumgartner表示,他们星期一已经发现一些据信涉及“国家资助”的网络间谍行动的黑客团体正在使用自动工具对互联网进行大规模的“扫瞄”,以期发现那些有漏洞的服务器。
卡巴斯基并未透露他们所发现的这些“国家资助”黑客团体的细节,不过去年2月19日美国电脑网络安全公司Mandiant曝光驻扎上海浦东的中共61398部队发动了针对美国企业的攻击,给出了中共当局以国家力量资助针对企业的黑客行为的明确证据。
这种扫瞄在关于这个漏洞公布后不久就已经开始浮出水面,而到星期二的时候已经有数十个这类“团体”在进行这种扫瞄,而到了星期三,在Rapid7公司发布了一个免费的扫瞄工具后,这类扫瞄的数量激增。
Baumgartner表示,现在是“全民皆兵”的时刻,谁都可以寻找有漏洞的服务器,并试图利用它。尽管目前已经出现了自动搜索有漏洞的服务器的工具,但尚未发现有公开的利用这一漏洞的工具,但依照以往的经验,这类工具很快就会出现。不过普通用户千万不要为了“尝鲜”而利用这些工具,一方面窃取他人信息违法,另外一方面网上所出现的所谓工具很可能本身就被夹带了“私货”,可能会窃取你本身的信息,让“木马屠城”的悲剧在你的电脑设备上上演。
越来越多的网站使用加密代码来保护如用户名、密码和信用卡号等数据,这能够防止黑客通过网络盗取个人信息。这种加密协议被称为SSL(Secure Sockets Layer安全套接层)或TLS(Transport Layer Security Protocol安全传输层协议)。当一个网站使用这种安全协议,浏览器中的地址栏旁会出现挂锁图标。
编写加密代码十分复杂,所以很多网站使用一种开源的免费安全协议,即OpenSSL。如亚马逊,该公司在其网站上建议,云计算服务Amazon Web Services的用户在为网页加密时使用OpenSSL。
OpenSSL存在的缺陷在于,使用某些最新OpenSSL版本的Web服务器会存储一些不受内存保护的数据。黑客可以获取这些数据,重建有关用户或密钥的信息,进而监视过去或将来的加密数据。
图:“心脏出血”( 这一logo 由发现这一漏洞的芬兰公司设计)给全球互联网带来了巨大的冲击。
要理解这个被称为Heartbleed(中文暂译“心脏出血”,这一漏洞的确可以被认为这直接击中互联网的核心)的漏洞为何引发这么大的关注,需要首先厘清一下什么是SSL协议,这一协议又为何对互联网安全如此重要。
何为SSL,它为何如此重要?
即使非“技术控”的普通互联网用户也知道如果要在造访的网站输入敏感的个人信息,特别是个人金融信息,比如在购物网站上输入个人的信用卡信号的时候,需要留意这个网站是否被加密,而加密的标志就是浏览器特定位置一个锁紧的锁头标志。
这个锁头意味着用户在这个网页上输入的任何信息都是经过一种复杂的SSL/TSL方式进行加密传输,只有发送者和发送者意图发送给的服务器可以看到这些信息。
这一点非常重要,因为互联网开放的架构,用户发送的任何信息都要经过很多网络上不同的节点(服务器)进行接力传输,因此一个从美国用户发给美国服务器的信息被在中国的服务器中转并非什么奇事。
要保证这些信息不被“有心人士”偷窥就要保证这些信息是加密的——当然SSL还有其他技术层面的东西来确保传输信息的可靠性,并非简单的加密。但简单的讲,SSL可以被理解为互联网上通用的“锁头”,所有的加密通讯都会使用到这把“锁头”,可以被称为互联网上互信的“基石”。
漏洞为何让互联网“心脏”出血?
而星期一公布的漏洞意味着这个被几乎所有互联网用户所信任的“锁头”本身是不可靠的。当然并非所有的锁头都不可靠,而是其中特定“锁匠”——OpenSSL软件——所制造的“锁头”不可靠。但问题是据信互联网上2/3的服务器是使用通过这个软件制造的锁头。
要全部理解这个漏洞显然不涉及技术细节是不可能的,但大致来说就是这个软件的最新版本(和通常漏洞涉及旧版本不同!)出现了一个微小但致命的编程漏洞,这个漏洞涉及一个被称为“心跳”(Heartbeat)的“扩展”,而漏洞让攻击者让每次“心跳”后可以读取服务器一定数量的内存,随着一次次的“心跳”,服务器最核心的内存信息就像“流血”(bleeding)一样被攻击者“吸走”,这也是这个漏洞名字的由来。
形象的说,就好像本来其他人送来的“加密包裹”应该关上门在不被别人打开的情况下开包检查,但这个漏洞打开了一扇不为主人所知的窗口,让外人可以一窥包裹中的内容,同时外人也可以看到主人打开这个包裹的钥匙,这意味着未来“偷窥者”不必每次在主人门口偷看(次数多了容易引起注意),而是在中间过程(记住这个包裹要经过很多地方)把包裹截取下来——在数字世界里面,相当于把包裹“复制”一份,然后自己不慌不忙的打开来看。
问题有多严重,如何应对?
首先一点,别被2/3服务器使用问题软件这个数字吓到,使用OpenSSL的更倾向于是独立和小型的网站,有“好事者”在漏洞被公布后的4月8日美东时间下午4时对在互联网排名网站Alex所列出的全球1000个最大的网站进行测试,发现只有48家网站受到影响,440家网站并不存在这个漏洞(当然不排除他们在第一时间修补漏洞的可能)。。
在为数不多受到影响的大网站中,雅虎(Yahoo.com)无疑是最出名的,这家公司近期频频在网络安全议题上被负面聚焦,该公司旗下的著名图片分享网站flickr.com也受到漏洞的影响。不过该公司随后声明已经对主要的服务进行了紧急修补。
但考虑到这一漏洞其实已经存在了至少两年(从2012年3月openSSL发布新版本后),目前的测试结果对过去两年中漏洞是否被黑客利用并无太大参考价值。目前还没有发现有这一漏洞已经被利用的迹象——如果有人通过这一漏洞大规模的窃取个人密码信息,可能会有很多关于自己银行帐户被“清空”的消息。
但安全专家警告个人钱财没有失窃并不意味着漏洞没有被发现或利用,因为有一群攻击者他们关注的不是某人银行帐户的钱财,而是更加敏感的信息,他们就是各个国家的情报部门,对于这些部门来说,他们最希望的是这个漏洞永远不要被发现。
总部在波士顿的互联网安全公司Rapid7的全球安全战略专家Trey Ford表示对于诸如美国国安局和中共国家安全部这些部门是否已经在利用这个漏洞进行情报收集这个问题,除非他们自己出面承认,否则外界基本上是无法给出确定的答案的。
Ford表示Heartbleed漏洞的一个危险之处在于攻击者不会在服务器上留下任何痕迹,因此如果有人发动了攻击,甚至无法证实攻击发生了。因此目前唯一能做的是对受影响的服务器尽快打“补丁”,同时重新生成密钥(这些密钥可能已经在不知名的地方被储存着),而作为用户需要做的是更换所有的密码,至少是对那些传输和储存自己财务信息的网站,但前提是服务器必须预先打好补丁。
OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。
OpenSSL是目前互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。可以近似地说,它是互联网上销量最大的门锁。而Sean爆出的这个漏洞,则让特定版本的OpenSSL成为无需钥匙即可开启的废锁;入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据;假如户主不幸是一个开商店的或开银行的,那么在他这里买东西、存钱的用户,其个人最敏感的数据也可能被入侵者获取。
心脏出血漏洞对普通用户影响
针对“心脏出血”漏洞的影响,各大媒体对一些常见问题进行了总结和解答,下面选译了一些相关的内容。
问:我该如何应对这一漏洞?
答:作为普通用户基本上没有太多可以做的,但安全专家建议在未来几天的时间内避免登录在线购物、银行网站和其他需要输入敏感数据,如姓名、地址、信用卡号等的网站。如果需要,最好预先确认相关网站已经修补这一漏洞。全球最大的购物网站亚马逊(Amazon.com)已经表示其网站不受这一漏洞影响。安全专家建议普通用户不要大意,因为SSL在现代互联网上的重要作用,修补这一漏洞涉及的面非常广,也相当复杂,并非简单的打一个安全补丁这么简单,很多网站可能要经过很长时间才能彻底解决相关的问题。
对于普通用户来说,余弦建议在确认有关网站安全之前,不要使用网银、电子支付和电商购物等功能,以避免用户密码被钻了漏洞的骇客捕获。
问:我的手机、电脑等设备是否需要打“补丁”?
答:简单的说,如果你只是使用你的设备浏览互联网,你不需要在自己的设备上进行任何操作,受影响的软件OpenSSL只是安装在你所访问的服务器上。所以你能做的就是静静的等待服务器那里修补这一漏洞,并在这之后修改你的密码。
当然,如果你的手机和设备上运行了一些依赖SSL协议的应用,一个比较普遍的例子是用来连接公司内部网络的VPN(虚拟专属网络)客户端,则你可能需要进行更新,以免本应加密的信息被截取,一些应用已经开始发布修补漏洞的更新。
问:在哪些网站上我需要更新密码?
答:安全专家的建议是对所有网站进行更新,但一些最著名的公司已经对外作出安全“保证”,他们的用户无需更换密码。其中包括谷歌,该公司发言人对路透社说:“我们已经提前修补了这个漏洞,因此谷歌用户不必更改密码”。
问:使用ssl的企业要做些什么
答:相关互联网企业则应该尽快进行主动升级。升级到最新的OpenSSL版本,可以消除掉这一漏洞,这是目前企业最便捷的做法。但在升级后,理论上还应该通知用户更换安全证书(因为漏洞的存在,证书的密钥可能已泄漏),并通知用户尽可能地修改密码。后面这两个措施,企业实施起来会面临很大的代价,也只能通过媒体尽量曝光,让意识到的用户重新下载证书并自行修改密码了。广大站长尽快将OpenSSL升级至1.0.1g版本,以修复该漏洞。相关的大型互联网企业包括阿里巴巴、腾讯等多个大型互联网服务商通过官微宣布,已经修复了该OpenSSL漏洞。
亚马逊的发言人仅表示Amazon.com不受影响,但拒绝给出更多细节。不过雅虎已经呼吁所有使用其服务的用户更新他们密码。其他被证实受影响的知名网站包括图片分享网站imgur.com和flickr.com。
互联网陷“乱局” 国家黑客在行动
在各大公司的IT专家忙于修补“心脏出血”之际,互联网安全专家发现包括国家资助的黑客团体在内,不少人已经开始大规模的在互联网上寻找存在安全漏洞的服务器。
据路透社报导,杀毒软件公司卡巴斯基(Kaspersky)的研究者Kurt Baumgartner表示,他们星期一已经发现一些据信涉及“国家资助”的网络间谍行动的黑客团体正在使用自动工具对互联网进行大规模的“扫瞄”,以期发现那些有漏洞的服务器。
卡巴斯基并未透露他们所发现的这些“国家资助”黑客团体的细节,不过去年2月19日美国电脑网络安全公司Mandiant曝光驻扎上海浦东的中共61398部队发动了针对美国企业的攻击,给出了中共当局以国家力量资助针对企业的黑客行为的明确证据。
这种扫瞄在关于这个漏洞公布后不久就已经开始浮出水面,而到星期二的时候已经有数十个这类“团体”在进行这种扫瞄,而到了星期三,在Rapid7公司发布了一个免费的扫瞄工具后,这类扫瞄的数量激增。
Baumgartner表示,现在是“全民皆兵”的时刻,谁都可以寻找有漏洞的服务器,并试图利用它。尽管目前已经出现了自动搜索有漏洞的服务器的工具,但尚未发现有公开的利用这一漏洞的工具,但依照以往的经验,这类工具很快就会出现。不过普通用户千万不要为了“尝鲜”而利用这些工具,一方面窃取他人信息违法,另外一方面网上所出现的所谓工具很可能本身就被夹带了“私货”,可能会窃取你本身的信息,让“木马屠城”的悲剧在你的电脑设备上上演。