今天要说一个漏洞的安全防范
如果你是网络安全行业的从业人员
一定听说过著名的“心脏出血”漏洞
正如它的名字
“心脏出血”的破坏力巨大
01
“心脏出血”漏洞震惊全球
2014年4月7日,互联网安全协议OpenSSL(Open Secure Socket Layer)被曝存在一个十分严重的安全漏洞。
在黑客社区,它被命名为“心脏出血”(Heartbleed),表明网络上出现了“致命内伤”。利用该漏洞,黑客可以获取约30%的https开头网址的用户登录账号密码,其中包括购物、网银、社交、门户等类型的知名网站。
OpenSSL“心脏出血”漏洞
堪称中国网络安全的一个灾难事件
漏洞爆发当日国内一线电商几乎都存在此漏洞
02
漏洞原理分析
OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,OpenSSL 有一个叫Heartbeat(心跳检测)的拓展,问题就出在这个拓展上,这也是漏洞被命名为“心脏出血”的直接原因。
所谓心跳检测,就是建立一个Client Hello问询来检测对方服务器是不是正常在线,服务器发回Server hello,表明正常建立SSL通讯。就像我们打电话时会问对方“喂听得到吗?”一样。
每次问询都会附加一个问询的字符长度pad length。此时,bug来了,如果这个pad length大于实际的长度,服务器仍是会返回相同规模的字符信息,于是形成了内存里信息的越界访问。
就这样,每发起一个心跳,服务器就能泄露一点点数据(理论上最多泄露 64K),这些数据里可能包括用户的登录账号密码、电子邮件甚至是加密密钥等信息,也可能并没有包含这些信息,但攻击者可以不断利用“心跳”来获取更多的信息。就这样,服务器一点一点泄露越来越多的信息,就像是心脏慢慢在出血,“心脏出血"漏洞的名字由此而来。
“心跳检测”原理图
由于互联网应用最广泛的安全传输方法就是SSL,而Open SSL又是多数 SSL加密网站使用的开源软件包,所以漏洞影响范围广大,一时间席卷全球各个互联网相关领域,网银、在线支付、电商网站、门户网站、电子邮件等无一幸免。
03
“心脏出血”漏洞攻击技术
Heartbeat扩展为TLS/DTLS提供了一种新的简便的连接保持方式,但由于OpenSSL 1.0.2-beta与OpenSSL 1.0.1在处理TLS heartbeat扩展时的边界错误,攻击者可以利用漏洞披露连接的客户端或服务器的存储器内容,导致攻击者不仅可以读取其中机密的加密数据,还能盗走用于加密的密钥。
04
防范措施 & 安全建议
企业网站管理员
1、由于此漏洞存在于存储很多隐私信息的服务器中,而当今最热门的两大网络服务器Apache和nginx都使用OpenSSL,所以危害性是很大的。不幸的是,如果访问了受影响的网站,用户无法采取任何自保措施。受影响的网站的管理员需要升级软件,才能为用户提供适当的保护。
2、网络上出现多种Heartbleed漏洞检测服务,可以让用户检查正在使用的网络服务是否安全,若是不安全的网站,就避免使用任何与账号、密码有关的交易功能。网络服务提供者也应该利用这些工具,随时检查自己维护的服务器,避免因Heartbleed漏洞而受到攻击,导致用户资料被窃。
个人用户
如果你经常使用的网站遭受了“心脏出血”攻击
1、一旦受影响的网站修复了这一问题,用户便可以通过修改密码来保护自己。攻击者或许已经拦截了用户的密码,但用户无法知道自己的密码是否已被他人窃取。
2、不要在受影响的网站上登录账号,除非确信该公司已经修补了这一漏洞。如果该公司没有通告相关进展,可以询问他们的客服团队。很多人的第一反应是赶快修改密码,但是网络安全专家的建议是等到网站确认修复再说。
3、一旦收到网站的安全修补确认,就立即修改银行、电子邮件等敏感账号的密码。即便你采用了两步认证(即在密码之外多一重验证信息),也推荐修改密码。
4、主动联系掌握个人数据的企业(网站)客服部门,以确保个人信息安全。知名公司当然知道这个问题,但是一些小企业(网站)可能还没发现它,所以个人要积极主动地维护个人信息安全。
5、密切关注未来数日内的财务报告。因为攻击者可以获取服务器内存中的信用卡信息,所以要关注银行短信中的陌生扣款。但是,即便按照上述方法操作,网页浏览活动也依然存在一定风险。Heartbleed甚至能影响追踪网站用户活动的浏览器Cookie,所以只访问不登录也有风险。
来源:浦东网警