• 今日汇率:1欧元= 7.784455元人民币 繁体中文

  • 【转】OpenSSL 的 Heartbleed 漏洞的影响到底有多大?

    OIIIIIIIO 发表于:2014-04-16 赞一个(0) 收藏     分享到朋友圈     6 7483

    OIIIIIIIO 加关注发私信 NO PAIN NO GAIN

    发帖 2419奋豆 2551粉丝 58楼主

    发表于:2014-04-16IP属地: 意大利 都灵

    该问题转自  知乎

    因为涉及个人信息安全问题,所以也在此提醒奋大高层有没有必要做出一些相应的举措以防止可能存在的信息漏洞。@国中大将 额,不过我不是很懂里面的一些专业问题,完全是小白,看到了一个还算比较通俗易懂的答案,和大家分享一下。

    ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

    OpenSSL 的 Heartbleed 漏洞的影响到底有多大

    问:

    今天在 HackersNews 上看到了这个新闻,票数和讨论都非常多,看起来相当严重:Heartbleed Bug

    另外有一个测试网站是否受到影响的服务:Test your server for Heartbleed (CVE-2014-0160)

    根据页面上的介绍,这个 OpenSSL 的实现漏洞可以在握手阶段获取到主机上的敏感内存数据,甚至包括 SSL 证书私钥!漏洞2011年底出现,昨天(2014年4月7日)才刚刚被修复。想问一下知乎上的信息安全专业人士们,这个漏洞的可利用性和影响范围究竟有多大?如果是,那么这个曾经的 0day 是否被广泛利用?

    答【部分答案,详见:http://www.zhihu.com/question/23328658/answer/24236735?utm_source=weibo&utm_medium=weibo_share&utm_content=share_answer&utm_campaign=share_button】:

    =====这个部分是写给非专业人士的,技术控们请直接跳=====

    今天接到中国之声的采访邀请,就硬着头皮对这个攻击的技术原理做了点简单通俗的讲解,希望有助于大众正确理解并认识到这个漏洞的原理和影响。这里把采访的具体内容放上来作为这个答案的补充。先吐槽一下央广硬要把我名字Rix念成“雷克萨”,发个英文就那么难么?

    先介绍一下这个漏洞是什么时候产生的,有多大影响?

    这个漏洞从2012年5月14日OpenSSL发布1.0.1版本时开始产生威胁(如果追踪代码更新的话应该是2011年11月份),至今已经有两年的威胁周期,只是最近才被人发现并做出修正。在威胁期间,我们无法得知有多少黑客发现并利用这个漏洞进行大范围的网络攻击活动,因为这种攻击方式是非常难以被察觉到的。因此如果做最坏的估计,也许所有大网站的用户数据都已泄漏,影响与危害直接涉及个人利益和安全。

    黑客是如何利用这个漏洞窃取用户的个人信息的?

    举一个不太恰当但是很形象的例子来解释,如果我们把网络服务器比作一个邮局,每个用户是写信人和收信人,用户从服务器上接受数据就相当于收取信件,得自己拿一个袋子到邮局去取,然而这个漏洞就发生在邮局将信件装入袋子的这个过程中。邮局的装袋机器(节目上我说的是工作人员)出于某种原因用户提供多大的袋子就装多少信件,因为一般人都会提供与自己信件数量等同大小的袋子,所以正常状态下并不会发生问题;然而如果攻击者属于自己的信件本就很少,却给了邮局一个很大的袋子,装袋机器就会鬼使神差地把别人的信件也装入袋子里,直到袋子被装满。所以攻击者可以通过这个方法看到随机的他人信件,实际上也就是窃听到其他用户的敏感数据,其中可能包括了用户名、密码、银行账号等等。更严重的是,这个装袋机器还有可能把自己邮局的大门钥匙,也就是我们密码学中所说的私钥,也装进袋子里,攻击者一旦获得这把钥匙,就相当于能随意进出邮局内部,查阅任何人的信件等等。(实际上是以服务器的名义读取和发送任何人的任何数据)当然私钥并不是那么容易获取到的,要进行相当多次的攻击才有机会得到。

    用户数据会一次性都泄漏掉吗?

    不是的。在实践中,袋子的大小是有最大限制的,所以即使攻击者提供一个无穷大的袋子,每次装回来的数据也是有固定最大数量的,详细来说黑客每次攻击所获得的数据仅有64KB,所以小量的攻击是不会泄漏所有用户的数据的。但是由于平均一台计算机一秒钟可以执行一到两次这样的攻击,黑客还是可以很轻松地大面积抓取用户的敏感信息。

    对那些抱有“我账户里又没几个钱,黑客不会有兴趣来攻击我,就算攻击了也得不到什么好处”想法的人有什么建议?(这问题没问,我自己拟的)

    当你理解了这个攻击背后的原理之后,你就会明白,由于黑客获取到的是完全随机的内存数据,他们是无法通过这个漏洞针对特定目标进行定位的攻击的,所以他们只能采取撒网式的捕捞攻击,捞到什么是什么,不求质却求量,因此每一个用户都是他们的目标,所有人被攻击的概率都是一样的,不存在“感兴趣的目标”一说。我们有绝对的必要遏止事态的恶化,因为就算每个用户损失得很少,但是积少成多,会给社会造成严重的负面影响。

    普通用户该如何保障自己的信息安全呢?

    有很多人问我是不是改了密码就没事了呢,我回答是不一定。首先用户是无法自行修补这一漏洞的,只要网站一天不修补漏洞,你的新密码就依然会受到威胁。所以最好的办法就是不要尝试登录甚至用保存了密码的浏览器访问你的服务账户,只要在威胁期间你以账号登录产生数据就可能会有隐私泄漏。然后请关注网站官方的新闻,如果有权威人士正式宣布此网站不受威胁或已经修补漏洞,再登录账户,并切记要修改密码,因为你无法确定在这两年的威胁周期内你的密码是否有泄露。

    感谢 @亞首 下面的建议,我觉得非常重要,请各位务必相互提醒!

    由于这次漏洞可能造成许多网站的证书泄露,近期内会有非常多网站甚至是CA的证书需要吊销换新,所以请务必在浏览器中开启“检查服务器证书吊销状态”的选项!!

    d9a20a3718f673760162d16d9943c852_m.jpg

    还有什么要补充的观点吗?

    我觉得有必要再唠两句关于人们对的网络安全的误解。

    首先,我希望不要再有人说“SSL协议有漏洞”之类的话。这次的漏洞是因为OpenSSL这款软件在实现上的纰漏造成的,并不代表SSL这一安全协议标准出现漏洞。这样的误解是对SSL设计者们以及广大密码学界研究人员的一种不敬。

    其次,我见到有人因为这次的漏洞就对开源安全软件甚至安全协议标准产生了怀疑和不信任,有人甚至觉得使用闭源软件甚至自主研发的加密算法会更安全。这是很多对密码学不了解的技术从业者非常容易犯下的错误。从理论角度上来说,已经有非常多的例子证明了看似聪明的算法实际拥有的脆弱的安全性,比如WEP、CSS、古老的OTP等等。就算你的算法实现过程不为人知,也有可能仅从密文上就分析出漏洞,直接进行破译,类似的案例也有不少。今日被标准化、模块化的加密算法和开源安全软件都是经过无数研究人员多年探索分析做出来的,没有什么商业公司能拥有如此强大的研究实力。从开发的角度来说,开源就意味着源代码时刻接受所有人的审查,所以出现漏洞的几率相当少。闭源软件虽然阻挡了大部分人对内部原理的透析,却无法阻挡黑客们通过逆向工程的分析,反而给黑客提供了垄断漏洞信息,拉长威胁周期的条件。所以请不要抵触开源软件,相反,越是遇到类似今日的情况就越是要给予开源社区鼓励和帮助,你的一分捐助能为你换来下一个十年、二十年的安全网络。

    ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

    我已经对个人的一些信息和密码进行了修改,上面建议等到网站发出修正漏洞后再修改用户名和密码,所以奋大的还没修改,不知道论坛有没有这个必要做这个调整,如果论坛里有网络安全方面的大神也可以给大家出出主意哦!

    欢迎来到意大利,融入留学生这个大家庭。

    6条评论

    高级

    您目前还是游客,请 登录注册
    写新帖

    本周热门

    24小时新帖

    本版热图

    大家也喜欢去