2014年4月8日,必将永载于互联网史册。这一天,互联网世界发生了两件大事:一、微软正式宣布XP停止服务退役;第二件,OpenSSL的大漏洞。很多普通人更关心第一件事,因为与自己切身相关。但事实上,第二件事,才是真正的大事件。 这个漏洞影响了多少网站,这个数字仍在评估当中,但放眼放去,我们经常访问的支付宝、淘宝、微信号、YY语音、陌陌、雅虎邮件、网银、门户等各种网站,基本上都出了问题。而在国外,受到波及的网站也数不胜数,就连大名鼎鼎的NASA(美国航空航天局)也已宣布,用户数据库遭泄露。 这个漏洞被的黑客命名为“heartbleed”,意思是“心脏出血”——代表着最致命的内伤。这是一个极为贴近的表述。 如果用专业的表述,OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,它通过一种源代码的SSL协议,实现网络通信的高强度加密。这也就是说,OpenSSL的存在,就是一个多用途的、跨平台的安全工具,由于它非常安全,所以被广泛地用于各种网络应用程序中。但现在,OpenSSL自己出现了漏洞,而且常高危胁的漏洞。利用这个漏洞,黑客可以轻松获得用户的cookie,甚至的帐号和密码。 这就像什么呢?你背靠着城墙与敌人战斗,突然,墙垮了。于是,一场疯狂的竞速开始。 网站们开始紧急预警和修复升级,安全公司和白帽们忙着测试漏洞影响并进行扩展推衍,而更多的黑客们,则抓紧时间开始狂欢。懂技术的人,深入地把玩这个漏洞,以它为武器,向自己久攻不下的网站发起;不懂技术的小黑客们,也如同大战场边缘的游勇,利用漏洞四下劫掠。这是一个不眠之夜——除了大批仍茫不知情的网民。 面对危机,网站们策略不一,有的紧急升级OpenSSL;有的暂停了服务;有的服务还在,但暂停了SSL加密;当然,还有的在睡……希望他们早上起来以后,还能保持自己放松的心情。 事实上,就漏洞本身来说,现在黑客们争夺的就是时间,一旦主要的网站们完成漏洞修复,这一波地震就能算是过去,大家自然回归常态,该网购的网购,该玩的玩。不过,值得注意的是,由于OpenSSL应用非常广泛,所以相对网站等表面上的应用,它在各种客户端、VPN、WAF等其他领域,也将带来更加隐蔽的风险,并将持续一段时间。而对整个互联网产业来说,这个事件更大的一个意义,在于让所有人重新回过头来反思: 当我们认为安全的一切,都突然变得不安全,我们又将如何维持这个虚拟世界的存续与稳定? 如果,这个事件能够改变,让因为不受重视,缺乏商业输血,长期处于孱弱状态的中国网络安全产业获得新的生机,或许,也能算是塞翁失马,终有所得。 互联网安全不眠夜 “心脏出血”波及网银电商 4月8日晚,是黑客和白帽们的不眠之夜。他们有的在狂欢,逐个进入森严的网站,耐心地收集泄漏数据,出用户的密码;有的在艰苦升级系统,统计漏洞信息,还要准备客户的说辞,让他们意识到问题的严重性;当然还有淼叔这样看热闹不嫌事大的,拼命恶补安全常识、寻找专家采访,试图记录这历史性的一夜。 这一夜,互联网门户洞开。 基础安全协议“心脏出血” 知道创宇公司的余弦守在电脑屏幕前彻夜未眠。作为一家高速发展的安全企业研究部总监,余弦在国内黑客圈资历颇深。他向淼叔介绍了这次事件的起源。该漏洞是由安全公司Codenomicon和谷歌安全工程师发现的,并提交给相关管理机构,随后很快发布了漏洞的修复方案。4月7号,程序员Sean Cassidy则在自己的博客上详细描述了这个漏洞的机制。 他披露,OpenSSL的源代码中存在一个漏洞,可以让者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。 OpenSSL是目前互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。可以近似地说,它是互联网上销量最大的门锁。而Sean爆出的这个漏洞,则让特定版本的OpenSSL成为无需钥匙即可的废锁;入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的数据,出户主的银行密码、私信等数据;假如户主不幸是一个开商店的或开银行的,那么在他这里买东西、存钱的用户,其个人最的数据也可能被入侵者获取。 一位安全行业人士在知乎上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。 发现者们给这个漏洞起了个形象的名字:heartbleed,心脏出血。这一夜,互联网的安全核心,开始滴血。 中国有至少三万台机器“带病” 一些安全研究者认为,这个漏洞影响可能没有那么大,因为受漏洞影响的OpenSSL 1.01系列版本,在互联网上部署并不广泛。国内老资格的安全工作者、安天实验室首席架构师江海客不认同这种说法。他在微博上预警:“这一次,狼真的来了”。 余弦则以对问题进行了精确的定量分析。4月8日的不眠之夜中,他除了在Twitter和各大论坛中实态的最新进展,更重要的精力放在了ZoomEye系统的扫描上。根据该系统扫描,中国全境有1601250台机器使用443端口,其中有33303个受本次OpenSSL漏洞影响!443端口仅仅是OpenSSL的一个常用端口,用以进行加密网页访问;其他还有邮件、即时通讯等服务所使用的端口,因时间关系,尚未来得及扫描。 ZoomEye是一套安全分析系统,其工作原理类似Google,会持续抓取全球互联网中的各种服务器,并记录服务器的硬件配置、软件等各类指标,生成指纹,定期对比,以此确定该服务器是否存在漏洞或被入侵。在此次“心脏出血”漏洞检测中,余弦给该系统后面加上一个“体检”系统,过滤出使用问题OPenSSL的服务器,即可得出存在安全隐患的服务器规模。 从该系统“体检”结果看,比三万台问题服务器更令人惊心的,是这些服务器的分布:它们有的在银行网银系统中,有的被部署在第三方支付里,有的在大型电商网站,还有的在邮箱、即时通讯系统中。 自这个漏洞被爆出后,全球的骇客与安全专家们展开了竞赛。前者在不停地试探各类服务器,试图从漏洞中抓取到尽量多的用户数据;后者则在争分夺秒地升级系统、弥补漏洞,实在来不及实施的则暂时关闭某些服务。余弦说,这是目前最的地方:骇客们已经纷纷出动,一些公司的负责人却还在睡觉。而如果骇客入侵了服务器,受损的远不止公司一个个体,还包括存放于公司数据库的大量用户资料。更为麻烦的是,这个漏洞实际上出现于2012年,至今两年多,谁也不知道是否已经 有骇客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵,也就没位损失、确认泄漏信息,从而通知用户进行补救。 问题的应对与新的问题 目前,ZoomEye仍在持续不断地给全球服务器”体检“,这个过程需要20小时左右。相比之下,仅仅给国内服务器体检需要的时间短得多,仅仅需要22分钟;而给那三万多台”带病“服务器重复体检,则只需两分钟。目前,余弦已经将这份名单提交给CNCERT/CC(国家互联网应急中心),由后者进行全国预警。但是,除了移动、联通等这些大型企业外,CNCERT也没有强制力确保其他公司看到预警内容,最后可能还是需要持续一些“带病”服务器,以此倒逼相关公司重视该漏洞。 而在漏洞修补期间,普通消费者与公司均应该采取相关措施规避风险。对于普通用户来说,余弦在确认有关网站安全之前,不要使用网银、电子支付和电商购物等功能,以避免用户密码被钻了漏洞的骇客捕获。“一位银行朋友告诉我,他们补上这个漏洞需要两天时间。这两天大家最好就别登录网银了,确认安全后再登。如果已经登录过了,那就考虑换一下密码吧。” 与用户的消极避险不同,相关互联网企业则应该尽快进行主动升级。升级到最新的OpenSSL版本,可以消除掉这一漏洞,这是目前企业最便捷的做法。但在升级后,理论上还应该通知用户更换安全证书(因为漏洞的存在,证书的密钥可能已泄漏),并通知用户尽可能地修改密码。后面这两个措施,企业实施起来会面临很大的代价,也只能通过尽量,让意识到的用户重新下载证书并自行修改密码了。 由于“心脏出血”漏洞的广泛性和隐蔽性,未来几天可能还将会陆续有问题爆出。在互联网飞速发展的今天,一些协议级、基础设施级漏洞的出现,可能会打击人们使用互联网的信心,但客观上也使得问题及时,在发生更大的损失前及时得到弥补。作为身处其中的个人,主动应变、加强,可能比把安全和未来全部托付出去要负责任一些。 什么是OpenSSL,它有什么用? OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。 SSL是Secure Socket Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。Netscape公司在推出第一个Web浏览器的同时,提出了SSL协议标准。其目标是两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。已成为Internet上保密通讯的工业标准。安全套接层协议能使用户/服务器应用之间的通信不被者,并且始终对服务器进行认证,还可选择对用户进行认证。SSL协议要求建立在可靠的传输层协议(TCP)之上。SSL协议的优势在于它是与应用层协议无关的,高层的应用层协议(例如:HTTP,FTP,TELNET等)能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而通信的私密性。 SSL协议提供的安全信道有以下三个特性: 1、数据的保密性:信息加密就是把明码的输入文件用加密算法转换成加密的文件以实现数据的保密。加密的过程需要用到密钥来加密数据然后再解密。没有了密钥,就无开加密的数据。数据加密之后,只有密钥要用一个安全的方法传送。加密过的数据可以公开地传送。 2、数据的完整性:加密也能数据的一致性。例如:消息验证码(MAC),能够校验用户提供的加密信息,接收者可以用MAC来校验加密数据,数据在传输过程中没有被过。 3、安全验证:加密的另外一个用途是用来作为个人的标识,用户的密钥可以作为他的安全验证的标识。SSL是利用公开密钥的加密技术(RSA)来作为用户端与服务器端在传送机密资料时的加密通讯协定。 OpenSSL整个软件包大概可以分成三个主要的功能部分:密码算法库、SSL协议库以及应用程序。OpenSSL的目录结构自然也是围绕这三个功能部分进行规划的。作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。 OpenSSL的应用程序已经成为了OpenSSL重要的一个组成部分,其重要性恐怕是OpenSSL的开发者开始没有想到的。如OpenCA,就是完全使用OpenSSL的应用程序实现的。OpenSSL的应用程序是基于OpenSSL的密码算法库和SSL协议库写成的,所以也是一些非常好的OpenSSL的API使用范例,读懂所有这些范例,你对OpenSSL的API使用了解就比较全面了,当然,这也是一项锻炼你的意志力的工作。 OpenSSL的应用程序提供了相对全面的功能,在相当多的人看来,OpenSSL已经为自己做好了一切,不需要再做更多的开发工作了,所以,他们也把这些应用程序成为OpenSSL的指令。OpenSSL的应用程序主要包括密钥生成、证书管理、格式转换、数据加密和签名、SSL测试以及其它辅助配置功能。 _本文编译自vocativ.com,原作者为Eric Markowitz。 _ 从到硅谷,有一支小规模的漏洞猎手团队发现了互联网历史上最为严重的网络安全漏洞,并为之积极准备着。 最近Heartbleed这个词可谓是家喻户晓,这个安全漏洞引起了几乎每个网民的担心。但其实David Chartier 早在一周前,当所有人还的时候,就已经知道它的存在了。 周五一大早,Codenomicon安全公司的CEO Chartier 接到了一个从打来的电话,那时他才刚刚到达在硅谷的办公室。在那个平常的不能再平常的阴霾天,Chartier 同往常一样接起了电话,另一头是公司的首席网络安全工程师,他所在的网络安全队伍在全世界最大的开源加密服务OpenSSL中找到了一个严重漏洞。最为的是,这个用于用户个人隐私的OpenSSL被几乎所有的主流网站所采用,包括Google和Facebook。 Chartier明白,事情非同小可,但在那个瞬间,他也不太清楚接下来会发生什么。 创立于2001年的Codenomicon是由一群IT专家建立的国际网络安全研究所,它在全世界六个国家都有自己的办公室。这群专家其实各个都是赏金漏洞猎人,而Codenomicon的工程师的日常工作,或者说最擅长的工作,就是为软件检查漏洞,再写出修复补丁。Verizon,微软还有Adobe都是他们的客户。 作为公司CEO的Chartier 已经有20多年的相关工作经验了,见识过的漏洞也不胜计数。但这次不一样。就算是著名的计算机安全研究员Bruce Schneier 后来也把这个漏洞视为“灾难性”的安全事故,影响了几乎所有网民——“如果评级是1到10,这次达到了11级。” 他写道。 在挂电话之前,Chartier 让其中一个工程师马上写一串漏洞检测代码去自己的网站。这样一来他就可以了解到,如果黑客真的发现漏洞,会对网站造成多么严重的损失。 凭过去的经验,Chartier 判断接下来的24小时会非常关键,而最重要的就是做好保密——Chartier 用自己公司内部的加密通信设备,通知他的工程师团队把修复补丁写出来。 “我们把它视作最高机密,谁也不能泄密,我们甚至还检查了自己有没有被。” Chartier一个人在硅谷指导着远在的团队。 “那些报道一点都不夸张,成千上万的网络服务器都在使用OpenSSL,太多人受了。” David Chartier 说。 首先要做的就是把漏洞到国家网络安全中心,也就是业内人士熟知的“CERT(计算机紧急响应小组)” 。漏洞是在广泛部署的OpenSSL加密服务中发现的,所以周六早上,CERT就集合了由全球共12个志愿开发人员组成OpenSSL 项目小组。CERT指挥他们开始更新自己的系统,并尽快备好补丁,以面向发布。 Chartier 并不知道,在Google里的一位鲜为人知的安全专家Neel Mehta 也在同一天发现并同时报告了OpenSSL 的漏洞。有趣的是,这个漏洞其实早在2012年3月就有了,这两个完全不相干的团队同时发现并,多少有些蹊跷。(Mehta不愿就这篇文章接受采访) 不管怎样,Chartier 和他的团队必须尽力。他明白,要是由OpenSSL 小组自己来公布这个漏洞报告,所含信息很可能不多,用户也不太清楚要怎么应对。于是,他决定就这个安全漏洞准备一场宣传活动,把信息充分地传出去。 “漏洞报告更新天天都有,已是家常便饭,” Chartier说,“你作为IT经理,怎么样能够判断哪些是重要的而哪些不是呢?所以我们为报告取了名,还准备了一些Q&A,为的就是让人们明确知道这是这么多年来最为严重的一个漏洞。” 一直到周五的晚上,这个漏洞还一直被标识为“CVE-2014-0160“。周六早晨,在首都办公室工作的Codenomicon 系统管理员Ossi Herrala 想到了这个名字:Heartbleed。 “OpenSSL上有一个扩展叫做Hearbeat,”Chatier 解释说:“Ossi觉得Heartbleed 很贴切,因为内存里用户的重要信息像血一样流了出来。” Marko Laaso也是Codenomicon的员工,在周六一大早他就注册了 Heartbleed.com这个域名。而在2008年,Heartbleed.com 则是一个给忧郁症患儿分享歌词和链接的网站。 整个团队非常高效。设计师开始设计Logo——一颗正在流血的心。当网站注册成功,Logo也确定之后,市场部就着手准备网站上的Q&A内容了。 周日的时候,Codenomicon的员工们用加密通讯工具交流,而Chartier继续监测网络,他要确保这个漏洞的消息没有被泄露出去。到了当天晚上,所有的营销材料准备就绪,整个团队也紧张的等待着,等着在OpenSSL发布补丁的第一时间上线Heartbleed.com。 “在补丁发布前,我们不可能先把消息发布出去,这只会引起恐慌,因为在补丁出来前,用户根本不明白要怎么自己。那样做这也了我们本意。”Chartier说。 最终到了周一下午,Heartbleed.com 终于上线,人们一下子涌了进来,也纷纷跟进报道。基本上所有主流,从CNN 到 邮报 再到纽约客,都报道了OpenSSL漏洞的事。截止到周三下午,算起来连48小时都不到,网站就有140万不同的访问,现在则接近200万。Heartbleed.com 能起到这么大的作用,Chartier备感欣慰。 “保障网络安全就是我们的,” Chartier 提到。“IT安全社区也尽全力打了一场胜仗,这份功劳属于整个IT安全社区。” 引自: |