昨晚(4月8日)是黑客和白帽們的不眠之夜。他們有的在狂歡�����,逐個進入戒備森嚴(yán)的網(wǎng)站��,耐心地收集泄漏數(shù)據(jù)���,拼湊出用戶的明文密碼;有的在艱苦升級系統(tǒng)��,統(tǒng)計漏洞信息��,還要準(zhǔn)備說服客戶的說辭���,讓他們意識到問題的嚴(yán)重性;當(dāng)然還有淼叔這樣看熱鬧不嫌事大的�,拼命惡補安全常識���、尋找專家采訪����,試圖記錄這歷史性的一夜。
這一夜����,互聯(lián)網(wǎng)門戶洞開。
基礎(chǔ)安全協(xié)議“心臟出血”
北京知道創(chuàng)宇公司的余弦守在電腦屏幕前徹夜未眠����。作為一家高速發(fā)展的安全企業(yè)研究部總監(jiān),余弦在國內(nèi)黑客圈資歷頗深�����。他向淼叔介紹了這次事件的起源�。該漏洞是由安全公司Codenomicon和谷歌安全工程師發(fā)現(xiàn)的���,并提交給相關(guān)管理機構(gòu)��,隨后官方很快發(fā)布了漏洞的修復(fù)方案��。4月7號�,程序員Sean Cassidy則在自己的博客上詳細(xì)描述了這個漏洞的機制�。
他披露�����,OpenSSL的源代碼中存在一個漏洞,可以讓攻擊者獲得服務(wù)器上64K內(nèi)存中的數(shù)據(jù)內(nèi)容����。這部分?jǐn)?shù)據(jù)中,可能存有安全證書�����、用戶名與密碼����、聊天工具的消息、電子郵件以及重要的商業(yè)文檔等數(shù)據(jù)��。
OpenSSL是目前互聯(lián)網(wǎng)上應(yīng)用最廣泛的安全傳輸方法(基于SSL即安全套接層協(xié)議)�。可以近似地說���,它是互聯(lián)網(wǎng)上銷量最大的門鎖����。而Sean爆出的這個漏洞,則讓特定版本的OpenSSL成為無需鑰匙即可開啟的廢鎖;入侵者每次可以翻檢戶主的64K信息����,只要有足夠的耐心和時間,他可以翻檢足夠多的數(shù)據(jù)���,拼湊出戶主的銀行密碼�、私信等敏感數(shù)據(jù);假如戶主不幸是一個開商店的或開銀行的��,那么在他這里買東西��、存錢的用戶�,其個人最敏感的數(shù)據(jù)也可能被入侵者獲取。
一位安全行業(yè)人士在知乎上透露�,他在某著名電商網(wǎng)站上用這個漏洞嘗試讀取數(shù)據(jù)����,在讀取200次后,獲得了40多個用戶名����、7個密碼,用這些密碼,他成功地登錄了該網(wǎng)站�。
發(fā)現(xiàn)者們給這個漏洞起了個形象的名字:heartbleed,心臟出血���。這一夜�����,互聯(lián)網(wǎng)的安全核心�����,開始滴血�。
中國有至少三萬臺機器“帶病”
一些安全研究者認(rèn)為�����,這個漏洞影響可能沒有那么大���,因為受漏洞影響的OpenSSL 1.01系列版本�����,在互聯(lián)網(wǎng)上部署并不廣泛��。
國內(nèi)老資格的安全工作者��、安天實驗室首席架構(gòu)師江�����?筒徽J(rèn)同這種說法����。他在微博上預(yù)警:“這一次,狼真的來了”����。
余弦則以對問題進行了精確的定量分析。4月8日的不眠之夜中����,他除了在Twitter和各大論壇中實時跟蹤事態(tài)的最新進展,更重要的精力放在了ZoomEye系統(tǒng)的掃描上���。根據(jù)該系統(tǒng)掃描,中國全境有1601250臺機器使用443端口�,其中有33303個受本次OpenSSL漏洞影響!443端口僅僅是OpenSSL的一個常用端口,用以進行加密網(wǎng)頁訪問;其他還有郵件���、即時通訊等服務(wù)所使用的端口�,因時間關(guān)系,尚未來得及掃描����。
ZoomEye是一套安全分析系統(tǒng),其工作原理類似Google��,會持續(xù)抓取全球互聯(lián)網(wǎng)中的各種服務(wù)器����,并記錄服務(wù)器的硬件配置、軟件環(huán)境等各類指標(biāo)����,生成指紋,定期對比����,以此確定該服務(wù)器是否存在漏洞或被入侵。在此次“心臟出血”漏洞檢測中����,余弦給該系統(tǒng)后面加上一個“體檢”系統(tǒng),過濾出使用問題OPenSSL的服務(wù)器���,即可得出存在安全隱患的服務(wù)器規(guī)模����。
從該系統(tǒng)“體檢”結(jié)果看,比三萬臺問題服務(wù)器更令人驚心的��,是這些服務(wù)器的分布:它們有的在銀行網(wǎng)銀系統(tǒng)中��,有的被部署在第三方支付里�,有的在大型電商網(wǎng)站,還有的在郵箱�、即時通訊系統(tǒng)中。
自這個漏洞被爆出后�����,全球的駭客與安全專家們展開了競賽�����。前者在不停地試探各類服務(wù)器����,試圖從漏洞中抓取到盡量多的用戶敏感數(shù)據(jù);后者則在爭分奪秒地升級系統(tǒng)、彌補漏洞����,實在來不及實施的則暫時關(guān)閉某些服務(wù)。余弦說���,這是目前最危險的地方:駭客們已經(jīng)紛紛出動���,一些公司的負(fù)責(zé)人卻還在睡覺。而如果駭客入侵了服務(wù)器��,受損的遠(yuǎn)不止公司一個個體����,還包括存放于公司數(shù)據(jù)庫的大量用戶敏感資料。更為麻煩的是���,這個漏洞實際上出現(xiàn)于2012年��,至今兩年多�����,誰也不知道是否已經(jīng) 有駭客利用漏洞獲取了用戶資料;而且由于該漏洞即使被入侵也不會在服務(wù)器日志中留下痕跡�����,所以目前還沒有辦法確認(rèn)哪些服務(wù)器被入侵����,也就沒法定位損失、確認(rèn)泄漏信息����,從而通知用戶進行補救。
問題的應(yīng)對與新的問題
目前�,ZoomEye仍在持續(xù)不斷地給全球服務(wù)器”體檢“,這個過程需要20小時左右���。相比之下��,僅僅給國內(nèi)服務(wù)器體檢需要的時間短得多��,僅僅需要22分鐘;而給那三萬多臺”帶病“服務(wù)器重復(fù)體檢�,則只需兩分鐘�����。目前��,余弦已經(jīng)將這份名單提交給CNCERT/CC(國家互聯(lián)網(wǎng)應(yīng)急中心)���,由后者進行全國預(yù)警��。但是�,除了移動��、聯(lián)通等這些大型企業(yè)外��,CNCERT也沒有強制力確保其他公司看到預(yù)警內(nèi)容���,最后可能還是需要媒體持續(xù)曝光一些“帶病”服務(wù)器��,以此倒逼相關(guān)公司重視該漏洞��。
而在漏洞修補期間���,普通消費者與公司均應(yīng)該采取相關(guān)措施規(guī)避風(fēng)險。對于普通用戶來說�,余弦建議在確認(rèn)有關(guān)網(wǎng)站安全之前,不要使用網(wǎng)銀�����、電子支付和電商購物等功能���,以避免用戶密碼被鉆了漏洞的駭客捕獲����。“一位銀行朋友告訴我,他們補上這個漏洞需要兩天時間�����。這兩天大家最好就別登錄網(wǎng)銀了�,確認(rèn)安全后再登。如果已經(jīng)登錄過了��,那就考慮換一下密碼吧���。”
與用戶的消極避險不同�,相關(guān)互聯(lián)網(wǎng)企業(yè)則應(yīng)該盡快進行主動升級��。升級到最新的OpenSSL版本����,可以消除掉這一漏洞,這是目前企業(yè)最便捷的做法�����。但在升級后,理論上還應(yīng)該通知用戶更換安全證書(因為漏洞的存在��,證書的密鑰可能已泄漏)��,并通知用戶盡可能地修改密碼��。后面這兩個措施��,企業(yè)實施起來會面臨很大的代價�����,也只能通過媒體盡量曝光��,讓意識到的用戶重新下載證書并自行修改密碼了�����。
由于“心臟出血”漏洞的廣泛性和隱蔽性���,未來幾天可能還將會陸續(xù)有問題爆出。在互聯(lián)網(wǎng)飛速發(fā)展的今天���,一些協(xié)議級���、基礎(chǔ)設(shè)施級漏洞的出現(xiàn)����,可能會打擊人們使用互聯(lián)網(wǎng)的信心�����,但客觀上也使得問題及時暴露�����,在發(fā)生更大的損失前及時得到彌補��。作為身處其中的個人���,主動應(yīng)變�、加強自我保護�,可能比把安全和未來全部托付出去要負(fù)責(zé)任一些。
