OpenSSL心脏出血

瀚文

这是一个不眠夜！警惕互联网安全

2014-04-09 北大新媒体

2014年4月8日，必将永载于互联网史册。

这一天，互联网世界发生了两件大事：一、微软正式宣布XP停止服务退役；第二件，OpenSSL的大漏洞曝光。


很多普通人更关心第一件事，因为与自己切身相关。但事实上，第二件事，才是真正的大事件。


这个漏洞影响了多少网站，这个数字仍在评估当中，但放眼放去，我们经常访问的支付宝、淘宝、微信公众号、YY语音、陌陌、雅虎邮件、网银、门户等各种网站，基本上都出了问题。


而在国外，受到波及的网站也数不胜数，就连大名鼎鼎的NASA（美国航空航天局）也已宣布，用户数据库遭泄露。


这个漏洞被曝光的黑客命名为“heartbleed”，意思是“心脏出血”——代表着最致命的内伤。


这一夜，互联网门户洞开

————————————————————

故事回放

基础安全协议“心脏出血”


这次的漏洞是由安全公司Codenomicon和谷歌安全工程师发现的。4月7号，程序员Sean Cassidy则在自己的博客上详细描述了这个漏洞的机制。他披露，OpenSSL的源代码中存在一个漏洞，可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中，可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。


OpenSSL是目前互联网上应用最广泛的安全传输方法。可以近似地说，它是互联网上销量最大的门锁。而Sean爆出的这个漏洞，则让特定版本的OpenSSL成为无需钥匙即可开启的废锁；入侵者每次可以翻检户主的64K信息，只要有足够的耐心和时间，他可以翻检足够多的数据，拼凑出户主的银行密码、私信等敏感数据；假如户主不幸是一个开商店的或开银行的，那么在他这里买东西、存钱的用户，其个人最敏感的数据也可能被入侵者获取。


一位安全行业人士在知乎上透露，他在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功地登录了该网站。


发现者们给这个漏洞起了个形象的名字：heartbleed，心脏出血。这一夜，互联网的安全核心，开始滴血。


该漏洞的影响大不大？

————————————————————

千万不要低估这次漏洞！


很大，因为有很多隐私信息都存储在服务器内存中。普林斯顿大学计算机科学家艾德·菲尔腾(Ed Felten)表示，使用这项技术的攻击者可以通过模式匹配对信息进行分类整理，从而找出密钥、密码，以及信用卡号等个人信息。


丢失了信用卡号和密码的危害有多大，相信已经不言而喻。但密钥被盗的后果可能更加严重。这是是信息服务器用于整理加密信息的一组代码。如果攻击者获取了服务器的私钥，便可读取其收到的任何信息，甚至能够利用密钥假冒服务器，欺骗用户泄露密码和其他敏感信息。

普通用户如何应对Heartbleed漏洞？

　1. 至少在未来1-2天内，尽量少登录以https://开头的网站，并尽可能少地使用网银服务，避免自己的账号密码被黑客窃取。

　　

　2. 在确认有关网站安全之前，不要使用网银、电子支付和电商购物等功能，以避免用户密码被钻了漏洞的骇客捕获。银行补上这个漏洞需要两天时间。如果你在这两天内登录过网银，就考虑换一下密码。


3. 密切关注未来数日内你个人的财务报告。因为攻击者可以获取服务器内存中的信用卡信息，所以要关注银行报告中的陌生扣款。



写在后面：

由于“心脏出血”漏洞的广泛性和隐蔽性，未来几天可能还将会陆续有问题爆出。作为身处互联网中的我们，主动应变、加强自我保护，可能比把安全和未来全部托付出去要来得负责任一些。


然而根据我们的观察，这两天网上的激烈反响大部分来自互联网从业圈内，而互联网真正的绝大部分受众却还没有真正意识到这次漏洞的严重性。将这条微信转给你的家人朋友，可能就是关注互联网安全的第一步。