fans GIGI

　　解析OpenSSL重大安全漏洞
　　2014年4月8日，XP宣佈正式停止服務的日子，也是OpenSSL爆出大漏洞的日子。這個漏洞影響30~50%比例使用https的網站，其中包括大家經常訪問的：支付寶、微信、淘寶、網銀、社交、門戶等知名網站。只要訪問https的網站便有可能存在被嗅探數據的風險。
　　OpenSSL是什麼？
　　OpenSSL是目前移動互聯網上應用最廣泛的安全傳輸方法(基於SSL即安全套接層協議)。它為網絡通信提供安全及數據完整性的一種安全協議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協議，並提供了豐富的應用程序供測試或其它目的使用。
　　OpenSSL漏洞
　　OpenSSL是一種開放源碼的SSL實現，用來實現網絡通信的高強度加密，現在被廣泛地用於各種網絡應用程序中。OpenSSL Heartbleed模塊存在一個BUG，當攻擊者構造一個特殊的數據包，滿足用戶心跳包中無法提供足夠多的數據會導致memcpy把SSLv3記錄之後的數據直接輸出，該漏洞導致攻擊者可以遠程讀取存在漏洞版本的OpenSSL服務器內存中長大64K的數據。
　　存在該漏洞的版本
　　OpenSSL 1.0.1 through 1.0.1f(inclusive) are vulnerable
　　OpenSSL 1.0.1g is NOT vulnerable
　　OpenSSL 1.0.0 branch is NOT vulnerable
　　OpenSSL 0.9.8 branch is NOT vulnerable
　　簡單的說，黑客可以對使用https(存在此漏洞)的網站發起攻擊，每次讀取服務器內存中64K數據，不斷的迭代獲取，內存中可能會含有程序源碼、用戶http原始請求、用戶cookie甚至明文帳號密碼等。
　　這個漏洞影響究竟有多大？
　　影響很大，因為有很多隱私信息都存儲在服務器內存中。普林斯頓大學計算機科學家艾德•菲爾騰(Ed Felten)表示，使用這項技術的攻擊者可以通過模式匹配對信息進行分類整理，從而找出密鑰、密碼，以及信用卡號等個人信息。
　　丟失了信用卡號和密碼的危害有多大，相信已經不言而喻。但密鑰被盜的後果可能更加嚴重。這是信息服務器用於整理加密信息的一組代碼。如果攻擊者獲取了服務器的私鑰，便可讀取其收到的任何信息，甚至能夠利用密鑰假冒服務器，欺騙用戶泄露密碼和其他敏感信息。
　　一位安全行業人士在知乎上透露，他在某著名電商網站上用這個漏洞嘗試讀取數據，在讀取200次後，獲取了40多個用戶名，7個密碼，用這些密碼，他成功地登錄了該網站。之後又發現雅虎門戶主頁、微信公眾號、微信網頁版，YY語言、淘寶、網銀、陌陌、社交、門戶網站存在此漏洞。
　　圖為獲取到了用戶登錄的帳號以及密碼，這裡的密碼使用的明文傳輸，以至於通過這樣的漏洞攻擊黑客可以成功的登錄了上百個賬戶。
　　用戶修改密碼、發送消息、登錄等請求以及很多操作全部在數據包中暴露出來，這裡不列舉更多受影響的網站了。其實這個漏洞據說早在2012年就被挖掘出來，直到昨天CVE納入編號CVE-2014-0160，8號才正式爆發。使用HTTPS的網站大多是因為數據需加密防止嗅探等攻擊的發生，漏洞爆發後徹底將這層大門打破，於是很多網站處於被監聽的狀態中。
　　因此漏洞非用戶安全所致，只要網站使用了存在漏洞的OpenSSL版本，用戶登錄該網站時就可能被黑客實時監控到登錄賬號和密碼，此漏洞應由服務商儘快提供OpenSSL的升級。
　　可喜的是諸如騰訊、網易、淘寶這些大的廠商對安全問題的應急相應速度很快，很多存在OpenSSL問題的網站已經修複，剩下一些相信也會通過白帽子們的努力很快修複。
　　用戶應當如何應對該問題？
　　對重要服務，盡可能開通手機驗證或動態密碼，比如支付寶、郵箱等，登錄重要服務，不僅僅需要驗證用戶名密碼，最好綁定手機，加手機驗證碼登錄。這樣就算黑客拿到帳戶密碼，登錄還有另一道門檻。
　　另外，隨著事件進展，可能受累及的網絡服務在增加或更明確，建議用戶修改重要服務的登錄密碼。對於密碼設置的建議是，一個密碼的使用時間不宜過長，超過3個月就應該換掉，並且密碼設置要足夠長，儘量不要多次使用同一個密碼。
（編輯：SN063）