心血漏洞,是一種網路漏洞病毒名稱,也叫心臟流血漏洞。這個名為Heartbleed的漏洞最早由谷歌研究員尼爾·梅塔(Neel Mehta)發現,它可從特定伺服器上隨機獲取64k的工作日誌,整個過程如同釣魚,攻擊可能一次次持續進行,大量敏感數據可能泄露。權威發布該漏洞信息的網站Heartbleed.com,目前已經詳細發布了有關這一漏洞的原理以及修複方法。
類似的網際網路安全漏洞曾發生過一起。一個由JAVA Struts 2引發的漏洞出現,導致“用JAVA Struts 2的這個結構來開發的程式會面臨被黑客入侵”。安全漏洞比較常見。業內出現過一個由JAVA Struts 2引發的漏洞出現,是一次由程式語言引發的漏洞事件,主要針對的也是電商網站,對銀行造成了重大威脅。而這一次爆發的漏洞,之所以命名為”心血漏洞“或者“心臟出血漏洞“,根本原因是基本的安全通信方式出了問題。
基本介紹
- 中文名:心血漏洞
- 實質:網路漏洞病毒
- 引發:JAVA Struts 2
- 針對:電商網站
原理,危害,影響範圍,應對,
原理
舉個很通俗的例子來說明:當我們要找人送信,這封信如果你明文寫的,在傳輸過程當中就有人能夠打開這封信,能夠讀到信件的內容。從古代開始,人們開始對信做“秘文”的處理,沒有密碼對照表的人看不懂(這和地下黨潛伏時期使用的密電道理一樣)。在計算機的通信領域,有同樣的加密技術。我在傳輸的時候把這個“信”——比如在網路上傳輸出去的時候,對內容加密,到接受端再被解開,大家做加密的時候要有一個協定,類似要商量好“我送過去是什麼東西”,你在接受的時候再解密——這就產生了SSL協定。
很多廠商都使用了OpenSSL軟體進行加密,包括國際上著名的網路設備廠商,這次無一例外也“中招”了;國產用戶,除了比較清楚自己在哪些網站使用了OpenSSL的東西,還有部分VPN設備也用了OpenSSL的代碼(做了功能上的擴充或者性能上的增強),所以部分硬體、盒子也可能受到影響,因為設備中的供應商可能採用了OpenSSL協定。
危害
用戶在網路上選擇做加密通信的時候,認為我傳輸的東西是比較關鍵的,比如我的用戶名和口令、信用卡卡號、銀行卡號還有支付密碼等。甚至有一些見不得人的東西比如艷照之類的,通過加密郵件加密,是比較常見的加密通信。
在電商網站和網銀系統,基本上採用的協定也是SSL。原因是,SSL協定在過去被使用的過程中被驗證是比較可靠的,協定本身比較安全,協定中每一次密鑰是動態變化的等等,具有一系列的安全機制。簡言之,黑客攻擊類似的網站、系統,辦法就是“攻擊伺服器,把秘鑰套出來”。不過,黑客是否能成功獲取加密的私鑰,安全領域各方還存在爭論。
第一、一旦危害造成,絕不會像過去的漏洞那么簡單。
也就是說,軟體開發者或者安全專家把這個漏洞補了之後不再發生,就萬事大吉了——這件事的預測這件事的首尾比較長,這件事的攻擊方法在4月7號被之前應該流傳一段時間,美國一個網站一周之前就修復了這個,也就是他們有人知道了這個信息提前修復了。
在黑客裡面有人得到了這個攻擊方法,在4月7號這件事公布出來之前,有可能有黑客在網際網路上掃描和收集過這些信息,它就把收集的一塊塊的64K、64K的數據收集,然後利用,危害和侵害是最後產生的。比如我拿了陳濤(音)的卡號和支付密碼,我不見得立馬取錢,他就賭他不知道這件事情,他可能不會及時的改密碼,我過半個月取,這時候大家的警惕心就下來了,或者我用其它網站的帳號慢慢再黑上去,再去拿東西,這個事往後處理的時間和影響造成的危害會慢慢暴露。
在黑客裡面有人得到了這個攻擊方法,在4月7號這件事公布出來之前,有可能有黑客在網際網路上掃描和收集過這些信息,它就把收集的一塊塊的64K、64K的數據收集,然後利用,危害和侵害是最後產生的。比如我拿了陳濤(音)的卡號和支付密碼,我不見得立馬取錢,他就賭他不知道這件事情,他可能不會及時的改密碼,我過半個月取,這時候大家的警惕心就下來了,或者我用其它網站的帳號慢慢再黑上去,再去拿東西,這個事往後處理的時間和影響造成的危害會慢慢暴露。
第二、因為OpenSSL的VPN服務過去做得比較成功,所以用戶眾多,影響面比較廣。
工程師查到一個來自北京聯通的IP在掃描器設備,而掃出來之後返回的結果是有問題的。相關人員檢測到這件事之後,向北大網路中心的人詢問,對方稱,昨天就發現了,因為是一個VPN設備於是聯繫了廠商,廠商一直沒有給回復。問題就來了:受到漏洞影響的設備廠商,往往反應速度不夠快。事實上,解決漏洞問題的方法應是“軟體升級”,而廠商無法及時提供一個版本修復漏洞,供用戶升級,只好給出“降級”的建議。
第三,還會有更加深遠的影響。
因為OpenSSL這個產品,別人在使用它的時候,不僅僅把它當做一個獨立的軟體來用,還有把它當做基礎模組來用。就是我建造房子的時候,我就用了這種磚,把這個房子砌起來,認為這塊磚比較結實,結果我們發現這塊磚是豆腐渣,它中間有重大的問題,也塊磚某天在某種壓力之下可能就碎了,尤其這種磚被用來建不同的房子都不知道。
影響範圍
中國範圍內受到此次漏洞影響的的伺服器接近三萬台。在全球大概掃描出來4000萬台伺服器開了SSL的服務,在中國開通SSL服務的機器,其中,中國大約有3萬台左右的伺服器裝了OpenSSL軟體,大概有3萬台伺服器受影響。
應對
最需要知道的兩個事實:一、淘寶、支付寶已經確認進行了修復;二、在確認登入網站做過修復後,修改密碼是最直接有效的辦法。
網站要趕快做升級OpenSSL。原來是OpenSSL0.1G之前的版本,大網站反映比較快,基本上昨天晚上連夜升級了,但是中小一點的網站,比如像政府的機構,它的行動會慢一些,還有一大半沒有升級,網站升級,企業要檢測自己的東西有沒有問題,有的話自己能升的就升,不行找服務商,實在不行我們也開了熱線電話,我們工程師會指導大家怎么升級。
對於個人,如果你登入過需要輸入登入賬號、或者網銀的網站,接下來最好的方式就是查看一下,是否軟體和漏洞有修復。比如像淘寶、支付寶之類的,我們已經確認這些站已經昨天晚上修復了。對於依然將長期使用這些網站的個人來說,最徹底的辦法就是修改密碼——但是不能先急著把所有的密碼改了,先看這個站點有沒有把所有出問題的部分修復好,如果已經把漏洞都補了,用戶再去修改密碼,對個人防護來說這是最有效的方法。