行业资讯
尚景科技(深圳)有限公司
地址: 深圳市福田区梅秀路
          华强云产业园3栋607
电话: 0755-22183666
传真: 0755-22183667
首页 > 行业资讯
Heartbleed——黑客界的刮刮乐
发布人:尚景科技 发布时间:2014-04-10 09:49:42 浏览次数:1688次

2014年4月9日,Heartbleed(意为“心脏出血”)的重大安全漏洞被曝光,一位安全行业人士在知乎上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。


听起来有点匪夷所思吧,让我们来看看这个黑客界的刮刮乐究竟是何方神圣?

 

OpenSSL,作为互联网使用最广泛的一种安全传输方式,其安全性涉及的范围或许远远不止网银、在线支付、电商、门户网站、电子邮件等,而此次出现的“心漏”Heartbleed漏洞,其产生的缘由简言之,就是程序上没有检查要求資料的长度,并且只会发生在使用Heartbeat通讯协议更新版本的OpenSSL上。

 

那什么又是Heartbeat呢?


其实,Heartbeat只是OpenSSL的一个扩展程序,OpenSSL在2011年12月推出了Heartbeat,随着1.0.1编译版本的发布,被定义在RFC6250 TLS/DTLS Heartbeat扩展程序中,其功能是帮助避免重新建立会话,并允许一个让SSL会话可以维持更久的机制,该RFC建议HeartbeatRequest必须用HeartbeatResponse信息回答,这个结果会保存网络数据,数据一般用在完整会话的重新协商。所以若果你使用了有漏洞的OpenSSL,但没有使用Heartbeat通讯协议,其实是不会遭受此次攻击的,看过美剧Under the Dome(《穹顶之下》)吗?剧中没有做过心脏支架的人,无论怎么接近Dome都不会被引爆的,就是如此。


 

就如本文开篇的案例,有一定安全或黑客技术的人,可以故意给长度有问题的HeartbeatRequest,让server抓错内存的数据,最多长度64kb,变成HeartbeatResponse,抓错内存数据的这64kb区域,可能包括的信息就是极其敏感的密钥、用户ID、密码等数据,但并非一次性的攻击就能获取的,所以,Hacker通常都会编写一个简单的程序来自动尝试,总能得到其想要的甜点,所以Heartbeat才被戏称为“黑客界的刮刮乐”。


而其危害的严重性则在于OpenSSL被许多公司企业广泛使用,如我们日常使用的京东、易讯,自然也包括淘宝,许多设备上也使用OpenSSL去开发他们的传输方式,可想而知,被刮中的会有多“乐”了。


 

还是回到案例上,漏洞被公布后的那个时间点,其实还是一个高危的真空状态看,可以不夸张的说,其实已经有很多黑客第一时间就已经可以try出全球有多少机器存在此问题了,只有一个自动运行并速度够快的程序即可。


 

当然,黑客不会无聊到尝试所有的,只要有了他们心目中的目标,那么距离他们想要的甜点也就不远了。


 

关于这份刮刮乐的解药,ASRC对企业用户的建议:


   1.    最完整的方式:更新OpenSSL至OpenSSL 1.0.1g;
   2.    最治标的方式:关掉Heartbeat功能;
   3.    最防患未然的方式:使用PFS(Perfect Forward Secrecy)机制;


对于,已更新了OpenSSL版本的用户,建议更进一步的重新设置终端用户密码,更保险些的方式,我们也建议重开机或重置现有的连线,以消除服务器可能被盗内存而泄露的隐忧。


不过,黑客的下一个目标永远没人知道,这场刮刮乐的游戏也可能就到此为止了,除非他们发现了一个更大的宝藏,谁知道呢~