知乎:OpenSSL 的 Heartbleed 漏洞的影响到底有多大?

朱欣愚,安全的程序猿

这个漏洞的实际影响非常大。

比较大型的网站,登录认证这种事情,往往是一个独立的应用,使用 https 协议单独部署。所以运行一段时间之后,应用的内存中都是跟认证相关的数据,其中就会有大量的用户名和密码。在小型网站上利用这个漏洞反而比较困难,一般小型网站就那么几台 Web 服务器,所有业务都在上面跑,Web 服务器的内存里面什么都有,有效信息的比重会很低。

实际测试了一下,以某宝为例,用 4k 大小的包读取,尝试 200 次,大约拿到 40 个用户名,7 个密码。随便试了一对用户名密码,可以登录成功。

这个事其实也暴露出 http 服务的安全有多脆弱。

http 服务有完善的链路层安全协议,反而导致设计应用协议的人偷懒,不在协议上作任何安全考虑,这样在应用的两端还是存在明文密码。明文密码或者说不过期的密码,存在的地方多一个就危险一分。像登录这种事情,如果客户端发给服务器的是密码加时间的 hash 值,这个漏洞的危害就小很多。

一个有趣的事情是,设计原生 TCP 应用协议的人,反而会更多的在协议上考虑安全,因为他们没有非常好用的 ssl 库。
余弦,黑客,来自知道创宇的懒人

一切权威看爆这次漏洞的官方动态:Heartbleed Bug(Heartbleed 这个命名不错,载入史册)。

@知道创宇安全研究团队 实测可以 Dump 出淘宝、微信、陌陌、网银、12306 等各大使用 OpenSSL 服务的一些内存信息,里面有用户等的敏感内容(有些重要网站含明文密码)。

OpenSSL 这次被比做「心脏出血」。可见影响。一个安全套件不安全了……

权威统计:

而且还不知是否有更进一步影响(小道八卦影响比想象的严重)。来自 Heartbleed 的官方说明(大概翻译下):

OpenSSL 在 Web 容器如 Apache/Nginx 中使用,这两的全球份额超过 66%。还在邮件服务如 SMTP/POP/IMAP 协议中使用,聊天服务如 XMPP 协议,VPN 服务等多种网络服务中广泛使用。幸运的是,这些服务很多比较古老,没更新到新的 OpenSSL,所以不受影响,不过还是有很多用的是新的 OpenSSL,都受影响!

来自@ZoomEye 的统计:

全国 443 端口:1601250,有33303个受本次 OpenSSL 漏洞影响!注意这只是 443 端口。
全球 443 端口,至少受影响有71 万量级。

老外有个基于全球 TOP1000 的粗暴根域 OpenSSL 探测列表,仅供参考:

https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt

说这个粗暴是因为:仅对「根域」。

不知道有多少团队要熬夜:

甲方,加急升级 OpenSSL(如果升级真的可以的话,目前来看是可以);
乙方,像我们这样的安全公司,在给我们全线产品 + 客户提供安全应急,并给社会输出有价值的参考信息;
地下黑客,刷库,各种刷。
每次这种大事,乌云都是被各路白帽子刷分的:

8fef7fec2cfc135533014d585974d183_m

我们已经联合国家有关单位进行应急响应,我相信这次风波会很快平息。

用户防御建议:

和某银行朋友交流,他们更新这个漏洞,需要 2 天时间。这段时间,用户谨慎吧,能不登录就不登录(因为你登录了你的相关明文信息,如用户名密码会在那万恶的 64K 内存中,这段内存是可以被 OpenSSL 这个漏洞刷出来的……),等过 3 天或这些网站说修复了,大家再继续使用服务……

如果已经登录过,你紧张的话,就修改密码吧。

厂家防御建议:

首先,这类攻击日志据 Heartbleed 官方说,无日志记录,追查不到。不过 IDS/IPS 等可以检测 / 防御(我们的加速乐也可以)。

别犹豫了,尽快升级 OpenSSL 吧。

如果厂家负责的话,可以学国外知名云平台厂家 Heroku 的做法:

Heroku OpenSSL Heartbleed Security Update

升级后,提醒用户更改密码、提醒云服务使用者更新 SSL 密钥重复证书。不过不太指望国内厂家这样做,因为我相信用户绝对会疯掉。

附录参考:

0. Heartbleed Bug(爆这次漏洞的官方)

1. 关于 OpenSSL“心脏出血”漏洞的分析 – 乌云知识库 – 知乎专栏

2. @Fooying 当安全协议不安全了:OpenSSL 漏洞 – Fooying – 知乎专栏

3. @Evilm0 OpenSSL 漏洞爆发后 – 微信公众号:Evil-say – 知乎专栏

———————————————

这事的影响超乎想象。

镜像链接:谷歌镜像 | 亚马逊镜像

分类: 科技 标签: ,
  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.