互聯(lián)網(wǎng)公司緊急修正OpenSSL高危漏洞、誰會受影響？如何解決？

OpenSSL1.0.1g 官方版

• 類型：編程工具大小：17.5M語言：英文 評分：4.2
• 標(biāo)簽：

立即下載

廣為流行的網(wǎng)絡(luò)加密軟件OpenSSL存在名為Heartbleed的重大漏洞，人們的賬號密碼、信用卡號碼等個人信息可能會失竊。各大主流網(wǎng)站都在加緊解決這一問題。

OpenSSL是目前最流行的開源加密庫和TLS協(xié)議實現(xiàn)，是Apache和nginx Web server默認(rèn)使用的加密庫，數(shù)據(jù)顯示66%的網(wǎng)站運行Apache和nginx Web服務(wù)器。Heartbleed bug是代碼中缺少邊界檢查導(dǎo)致的，利用它攻擊者事實上可以繞過TLS保護(hù)，直接從處理OpenSSL進(jìn)程的計算機(jī)內(nèi)存中獲取加密密鑰和用戶密碼等敏感信 息。

綽號為“心臟出血（Heartbleed）” 的OpenSSL高危漏洞影響了三分之二的Web服務(wù)。安全研究人員稱，即使受影響Web服務(wù)安裝了最新的OpenSSL補(bǔ)丁，他們?nèi)匀豢赡苋菀资艿焦�擊，因為攻擊者有可能已�?jīng)竊取到了數(shù)字證書的私鑰和用戶的密碼等網(wǎng)站登錄驗證信息， 互聯(lián)網(wǎng)公司可能需要撤銷所有暴露的私鑰，重新發(fā)行新的密鑰，讓所有會話密鑰和會話cookies失效。Amazon Web Services、雅虎、Tumblr、GitHub、BitSight Technologies和密碼管理公司LastPass等企業(yè)都表示在給OpenSSL軟件打上最新的補(bǔ)丁。雅虎的發(fā)言人說，該公司團(tuán)隊已對雅虎的主要屬性成功進(jìn)行了適當(dāng)?shù)男拚�。安全研究人員Mark Loman在Yahoo Mail上的演示顯示，他可以輕松利用一個開源工具獲取Yahoo Mail的明文用戶密碼。

近日有研究人員公布，究竟是什么回事呢？普通網(wǎng)民是否會受到影響呢？國外媒體近日就這類疑問一一進(jìn)行了詳解。

SSL是什么？

SSL是一流行的加密技術(shù)，可保護(hù)網(wǎng)絡(luò)用戶在互聯(lián)網(wǎng)上傳輸?shù)碾[私信息。例如，訪問諸如Gmail.com的安全網(wǎng)站時，你會看到URL左側(cè)有一綠色的“鎖頭”圖標(biāo)，它意指你與該網(wǎng)站的通訊受到加密保護(hù)。以下是它在谷歌Chrome瀏覽器上的模樣：

該鎖頭表明第三方會無法讀取你收發(fā)的任何信息。SSL具體是通過將你的數(shù)據(jù)轉(zhuǎn)變成只有接收方才能破譯的加密信息來實現(xiàn)這一點。如果有黑客監(jiān)聽你的對話，他將只能夠看到隨即字符串，而無法看到你的電郵內(nèi)容、Facebook帖子、信用卡號碼等私密信息。

SSL是1994年最先由網(wǎng)景（Netscape）推出，自1990年代以來一直面向各款主流瀏覽器。近年來，主流的在線服務(wù)也都趨向使用該加密技術(shù)。目前，谷歌、雅虎和Facebook對于自家的網(wǎng)站和在線服務(wù)全都默認(rèn)使用SSL加密技術(shù)。

何為Heartbleed漏洞？

大多數(shù)的SSL加密網(wǎng)站都基于名為OpenSSL的開源軟件包。周一，研究人員公布該軟件存在一個會致使用戶通訊內(nèi)容泄露的嚴(yán)重漏洞。OpenSSL存在這種漏洞已有約兩年時間。

具體來說，SSL標(biāo)準(zhǔn)包含heartbeat選項，讓SSL連接一端的計算機(jī)發(fā)出短信息來確認(rèn)另一臺計算機(jī)仍處于聯(lián)網(wǎng)狀態(tài)并獲得回復(fù)。研究人員發(fā)現(xiàn)，存在發(fā)送偽裝的惡意heartbeat信息誘使SSL連接另一端的計算機(jī)泄露秘密信息的的可能性。也就是說計算機(jī)會被誘使傳輸服務(wù)器內(nèi)存中的內(nèi)容。

漏洞影響很大嗎？

是的。服務(wù)器內(nèi)存中存儲著大量的私密信息。普林斯頓大學(xué)計算機(jī)科學(xué)家艾德·費爾騰（Ed Felten）指出，使用這種技術(shù)的攻擊者會“通過模式匹配整理那些信息，試圖找到密鑰、密碼以及諸如信用卡號碼的個人信息”。

賬號密碼、信用卡號碼失竊的嚴(yán)重性無需贅述，而密鑰失竊甚至更加嚴(yán)重。密鑰是服務(wù)器用以譯出它所接受的加密信息的工具。如果攻擊者獲得服務(wù)器的私有密鑰，那他就能讀取任何發(fā)送到服務(wù)器的信息。他甚至能夠利用密鑰冒充服務(wù)器，誘使用戶泄露他們的賬號密碼和其它的敏感信息。

誰發(fā)現(xiàn)了漏洞？

是Codenomicon和谷歌安全部門（Google Security）的研究人員獨立發(fā)現(xiàn)的。為了最大限度地降低公布漏洞會帶來的損害，研究人員在公布之前先與OpenSSL團(tuán)隊和其它的關(guān)鍵內(nèi)部人員合作準(zhǔn)備好修復(fù)方案。

哪些人能夠利用Heartbleed漏洞？

“利用該漏洞對于了解它的人來說并不是很難�！辟M爾騰透露。利用該漏洞的軟件遍布于網(wǎng)絡(luò)上，雖然該軟件沒iPad應(yīng)用那么好用，但任何有編程基礎(chǔ)的人都會知道怎么使用。

當(dāng)然，該漏洞也許對于擁有條件大規(guī)模攔截用戶流量的情報機(jī)構(gòu)而言最具價值。美國國家安全局（NSA）與美國電信服務(wù)提供商有秘密協(xié)定，它能夠接入互聯(lián)網(wǎng)干線。用戶可能會認(rèn)為Gmail、Facebook等網(wǎng)站上的SSL加密可以保護(hù)他們免受監(jiān)聽。但Heartbleed漏洞可讓NSA獲得破譯私密通訊所需的私有密鑰。

要是NSA已經(jīng)在公眾知曉之前發(fā)現(xiàn)Heartbleed漏洞的存在，也不會令人驚訝。鑒于OpenSSL是世界上最流行的加密軟件，NSA的安全專家之前很有可能仔細(xì)研究過OpenSSL的源代碼。

有多少網(wǎng)站受到影響？

目前還沒有準(zhǔn)確的數(shù)據(jù)，不過發(fā)現(xiàn)漏洞的研究人員指出，最流行的兩家網(wǎng)絡(luò)服務(wù)器Apache 和nginx均使用OpenSSL。二者加起來，共計覆蓋約三分之二的網(wǎng)站。SSL還被其它的網(wǎng)絡(luò)軟件所使用，如桌面郵箱客戶端和聊天軟件。

研究人員是在幾天前告知OpenSSL團(tuán)隊和其他的關(guān)鍵利益相關(guān)者漏洞情況的。因此，OpenSSL能夠在將漏洞公諸于眾的同時發(fā)布OpenSSL軟件的修復(fù)版本。要消除漏洞，網(wǎng)站只需要確保它們使用的是OpenSSL最新版本。

雅虎發(fā)言人表示，“我們的團(tuán)隊已經(jīng)在雅虎的各個主要網(wǎng)站（雅虎主頁、雅虎搜索、雅虎郵箱、雅虎財經(jīng)、雅虎體育、雅虎美食、雅虎科技、Flickr和Tumblr)）上成功完成修復(fù)，我們正在針對公司旗下其它的網(wǎng)站實施修復(fù)�！�

谷歌稱，“我們對SSL漏洞進(jìn)行了評估，并已修復(fù)谷歌的各款主要服務(wù)�！盕acebook也表示，它在漏洞公布時已經(jīng)解決好該問題。

微軟發(fā)言人則寫道，“我們在跟進(jìn)OpenSSL庫問題的報告。要是確定它有對我們的設(shè)備與服務(wù)造成影響，我們會采取必要的措施來保護(hù)我們的用戶�！�

用戶能怎么解決問題？

很遺憾，用戶要是訪問到采用含漏洞OpenSSL軟件的網(wǎng)站，他們并不能保護(hù)自己。有問題的網(wǎng)站升級OpenSSL軟件之后，用戶才能夠得到保護(hù)。

不過，受影響的網(wǎng)站修復(fù)好OpenSSL軟件問題后，用戶就可以通過更改自己的密碼來保護(hù)自己。攻擊者之前可能已經(jīng)截取了用戶的密碼，費爾騰稱用戶可能無法判斷他們的密碼是否失竊。

對于依賴OpenSSL的加密工具來說，數(shù)據(jù)被泄露將面臨災(zāi)難性的后果，加密社區(qū)Tor Project發(fā)布博客文章警告用戶：“如果你在網(wǎng)上希望匿名或者隱私保護(hù)，那么接下來的幾天最好還是完全遠(yuǎn)離互聯(lián)網(wǎng)吧�！倍�且，很多情況下，幾天的時間根本不夠，網(wǎng)站或者服務(wù)提供商需要不少時間將其服務(wù)器升級修復(fù)，一旦在這段時間內(nèi)服務(wù)器密鑰被捕獲，攻擊者可能有足夠的時間對網(wǎng)站進(jìn)行攻擊。網(wǎng)站可以對其密鑰和證書進(jìn)行重新設(shè)定，但這個過程非常緩慢并且代價昂貴，不少網(wǎng)站可能僅僅選擇對服務(wù)器進(jìn)行漏洞修復(fù)。上述 ICSI的網(wǎng)絡(luò)安全研究員尼古拉斯·韋弗懷疑，一年后，很多網(wǎng)站的服務(wù)器可能處于非常脆弱的狀態(tài)，“問題并沒有徹底解決�！�

蘋果、谷歌、微軟似乎暫未中槍，一些網(wǎng)絡(luò)銀行服務(wù)商似乎也沒受到影響，但是一部分雅虎用戶數(shù)據(jù)則在一天之內(nèi)遭到泄露（一名雅虎發(fā)言人稱雅虎主站已經(jīng)得到修復(fù)，團(tuán)隊目前正在修復(fù)其他雅虎網(wǎng)站）。任何采用了使用OpenSSL協(xié)議的Apache或者Nginx軟件都會受到影響，很多不少用戶常用的網(wǎng)站或者服務(wù)都因此中槍。

目前，有幾種方法可以鑒別一個網(wǎng)站是否安全，有一家由開發(fā)者費力坡·瓦索達(dá)（Filippo Valsorda）建立的網(wǎng)站提供檢測一家網(wǎng)站是否尚未修復(fù)漏洞的方法，但這家網(wǎng)站并不能提供百分之百準(zhǔn)確的鑒定結(jié)果。所有已被修復(fù)的服務(wù)器仍需產(chǎn)生新的SSL證書密鑰保證攻擊者無法利用捕獲的密鑰進(jìn)行攻擊，因此也可以通過檢測某網(wǎng)站密鑰的產(chǎn)生日期來判斷該網(wǎng)站是否近期被修復(fù)。網(wǎng)站重新設(shè)定密鑰證書需要花費時間和金錢，但是如果不這么做，就很容易被攻擊。

目前來看，這場風(fēng)波會給互聯(lián)網(wǎng)行業(yè)帶來什么樣的影響還很難說，但是一些教訓(xùn)已經(jīng)很明顯。盡管大量的網(wǎng)站使用OpenSSL，這項開源的協(xié)議依然缺乏足夠的資金進(jìn)行發(fā)展，不少專家已經(jīng)開始號召向OpenSSL項目進(jìn)行捐錢，避免未來再次出現(xiàn)如同“心臟流血”的漏洞。

但是，“心臟流血”帶來的最重要的教訓(xùn)，恐怕是要發(fā)現(xiàn)網(wǎng)站的漏洞和脆弱性有多困難，一旦漏洞出現(xiàn)的后果又有多嚴(yán)重，尼古拉斯·韋弗表示“這些漏洞都比較隱秘，如果你進(jìn)行日志檢查，你有可能發(fā)展，但如果你只是看代碼的話，是無法發(fā)現(xiàn)的�！薄八�以這次要感謝谷歌，其檢測程序足夠嚴(yán)格，發(fā)現(xiàn)了這個漏洞，但是對于任何依賴開源安全軟件的網(wǎng)址來說，都應(yīng)該進(jìn)行反思�！�

注：截止美國東部時間4月8號下午3:54，雅虎發(fā)布聲明稱其團(tuán)隊已經(jīng)將雅虎主要的網(wǎng)站都進(jìn)行了修復(fù)，包括雅虎主頁、雅虎搜索、雅虎郵箱、雅虎財經(jīng)、雅虎體育、雅虎美食、雅虎科技以及Flickr和Tumblr，其余網(wǎng)站的修復(fù)還在進(jìn)行中。