解析OpenSSL重大安全漏洞
  2014年4月8日,XP宣佈正式停止服務的日子,也是OpenSSL爆出大漏洞的日子。這個漏洞影響30~50%比例使用https的網站,其中包括大家經常訪問的:支付寶、微信、淘寶、網銀、社交、門戶等知名網站。只要訪問https的網站便有可能存在被嗅探數據的風險。
  OpenSSL是什麼?
  OpenSSL是目前移動互聯網上應用最廣泛的安全傳輸方法(基於SSL即安全套接層協議)。它為網絡通信提供安全及數據完整性的一種安全協議,囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協議,並提供了豐富的應用程序供測試或其它目的使用。
  OpenSSL漏洞
  OpenSSL是一種開放源碼的SSL實現,用來實現網絡通信的高強度加密,現在被廣泛地用於各種網絡應用程序中。OpenSSL Heartbleed模塊存在一個BUG,當攻擊者構造一個特殊的數據包,滿足用戶心跳包中無法提供足夠多的數據會導致memcpy把SSLv3記錄之後的數據直接輸出,該漏洞導致攻擊者可以遠程讀取存在漏洞版本的OpenSSL服務器內存中長大64K的數據。
  存在該漏洞的版本
  OpenSSL 1.0.1 through 1.0.1f(inclusive) are vulnerable
  OpenSSL 1.0.1g is NOT vulnerable
  OpenSSL 1.0.0 branch is NOT vulnerable
  OpenSSL 0.9.8 branch is NOT vulnerable
  簡單的說,黑客可以對使用https(存在此漏洞)的網站發起攻擊,每次讀取服務器內存中64K數據,不斷的迭代獲取,內存中可能會含有程序源碼、用戶http原始請求、用戶cookie甚至明文帳號密碼等。
  這個漏洞影響究竟有多大?
  影響很大,因為有很多隱私信息都存儲在服務器內存中。普林斯頓大學計算機科學家艾德•菲爾騰(Ed Felten)表示,使用這項技術的攻擊者可以通過模式匹配對信息進行分類整理,從而找出密鑰、密碼,以及信用卡號等個人信息。
  丟失了信用卡號和密碼的危害有多大,相信已經不言而喻。但密鑰被盜的後果可能更加嚴重。這是信息服務器用於整理加密信息的一組代碼。如果攻擊者獲取了服務器的私鑰,便可讀取其收到的任何信息,甚至能夠利用密鑰假冒服務器,欺騙用戶泄露密碼和其他敏感信息。
  一位安全行業人士在知乎上透露,他在某著名電商網站上用這個漏洞嘗試讀取數據,在讀取200次後,獲取了40多個用戶名,7個密碼,用這些密碼,他成功地登錄了該網站。之後又發現雅虎門戶主頁、微信公眾號、微信網頁版,YY語言、淘寶、網銀、陌陌、社交、門戶網站存在此漏洞。
  圖為獲取到了用戶登錄的帳號以及密碼,這裡的密碼使用的明文傳輸,以至於通過這樣的漏洞攻擊黑客可以成功的登錄了上百個賬戶。
  用戶修改密碼、發送消息、登錄等請求以及很多操作全部在數據包中暴露出來,這裡不列舉更多受影響的網站了。其實這個漏洞據說早在2012年就被挖掘出來,直到昨天CVE納入編號CVE-2014-0160,8號才正式爆發。使用HTTPS的網站大多是因為數據需加密防止嗅探等攻擊的發生,漏洞爆發後徹底將這層大門打破,於是很多網站處於被監聽的狀態中。
  因此漏洞非用戶安全所致,只要網站使用了存在漏洞的OpenSSL版本,用戶登錄該網站時就可能被黑客實時監控到登錄賬號和密碼,此漏洞應由服務商儘快提供OpenSSL的升級。
  可喜的是諸如騰訊、網易、淘寶這些大的廠商對安全問題的應急相應速度很快,很多存在OpenSSL問題的網站已經修複,剩下一些相信也會通過白帽子們的努力很快修複。
  用戶應當如何應對該問題?
  對重要服務,盡可能開通手機驗證或動態密碼,比如支付寶、郵箱等,登錄重要服務,不僅僅需要驗證用戶名密碼,最好綁定手機,加手機驗證碼登錄。這樣就算黑客拿到帳戶密碼,登錄還有另一道門檻。
  另外,隨著事件進展,可能受累及的網絡服務在增加或更明確,建議用戶修改重要服務的登錄密碼。對於密碼設置的建議是,一個密碼的使用時間不宜過長,超過3個月就應該換掉,並且密碼設置要足夠長,儘量不要多次使用同一個密碼。
(編輯:SN063)
創作者介紹

fans GIGI

yr96yrthaz 發表在 痞客邦 PIXNET 留言(0) 人氣()