心脏出血漏洞会造成什么影响?

admin 2022年1月25日00:51:52安全闲碎评论64 views3040字阅读10分8秒阅读模式

一、前言

不知这个漏洞为什么会被命名为“ Heartbleed”(直译:心脏出血),也许是漏洞因心跳包缺陷而命名,也许是代表最致命的伤害。但不管怎样,见到OpenSSL爆出这样的安全漏洞后,感觉心真的在滴血。。。谈到这个漏洞危害就要先来了解下SSL与OpenSSL到底是个啥,对现如今的网络安全有怎样的意义,对我们的日常网上生活有什么影响。

心脏出血漏洞会造成什么影响?


二、SSL是个啥

我们平时打开网页地址前面显示的http,代表该网页是明文传输内容的,包括我们的密码与用户认证信息等,这样就有了一个很严重的安全隐患,如果有人在我的电脑与网站中间的通信进行监听,就可以轻松获取密码,至篡改我们的敏感数据,所以明文传输数据是极不安全的!


SSL就这样诞生了?非也,其实最开始SSL的目的并不是对传输的数据进行加密,而是早期的电子商务阶段,商家担心用户拍下商品后不付款,或者使用虚假甚至过期的信用卡,为了让银行给予认证以及信任,SSL就在这种背景下诞生了。有点扯远了,只是想让大家知道,除了后面我们提到的通信加密,SSL还承担着信任认证的功能。


SSL安全套接层(Secure Sockets Layer,SSL)是一种安全协议,在网景公司(Netscape)推出首版Web浏览器的同时提出,目的是为网络通信提供安全及数据完整性保障,SSL在传输层中对网络通信进行加密。如网址前面显示的是https,就代表是开启了SSL安全支持的站点。


经过漫长的改进,SSL最终变成了现在我们看到的样子,它提供的几大安全保障:

1.加密用户与服务器间传输的数据

2.用户和服务器的合法认证,确保数据发送到正确的服务器或用户

3.保证数据的完整性,防止中间被非法篡改


一些对安全性要求很高的如:网络银行、电商支付、帐号登录、邮件系统甚至VPN等等服务,在开启了SSL支持后,用户与企业即可放心数据传输的安全性,也无需担心信息被他人截获篡改,进而成了信息安全保障最根本的基础,成了安全“标配”。

心脏出血漏洞会造成什么影响?

题外话:SSL是标配,是最起码的信息安全保障,但并不代表开启了SSL网站安全就上了几个档次,SSL并不会解决安全漏洞问题(具体是那些问题可以看下乌云上的案例)!以后在见到一些拿着SSL做安全噱头的企业,就明白这其实说明不了他的安全性有多好。


三、OpenSSL是个啥

心脏出血漏洞会造成什么影响?

OpenSSL简单来讲就是套开放源代码的SSL套件,提供了一套基础的函数库,实现了基本的传输层资料加密功能。集成在一些开源的软件项目与操作系统中,用做SSL功能的调用。注意了,这次的“心脏出血”漏洞就是出现在OpenSSL上


四、那这个漏洞有什么影响呢?

科普了一些基础知识,现在开始谈谈漏洞以及其影响吧。之前有提到SSL已经是当今信息安全的基础标配了,可以说所有的产品都信任OpenSSL带来的SSL基础支持,将信息传输与数据加密的安全性完全依赖OpenSSL,这样带来的隐患就是地基安全一旦动摇,整栋大厦都面临坍塌风险,而这种风险不再仅存于想象,他真的就发生了。。。


“心脏出血”漏洞技术性细节可以参考国内首发的乌云知识库(http://drops.wooyun.org/papers/1381),漏洞可以随机泄漏内存中的64k数据,而且可通过重复读取来获取大量内存数据,OpenSSL内存区域又是存储用户请求中的明文数据,其中可能包含源码、登录时提交的明文帐号密码、登录后服务器返回的合法认证因素(cookies)、软件序列号、机密邮件,甚至是可以突破一些系统保护机制的关键数据。


问:手机上网或使用APP受到到影响么?

答:只要数据通信走了SSL,服务器存在漏洞的话是会受到影响的


问:64K能存下多少敏感数据

答:不清楚,但 64K 起码能存下 32768 个汉字


问:即使这样,那泄漏的数据会对我们造成什么影响?

答:其实在我们平时上网购物、登录网站、与好友聊天的时候,为了保证用户体验与安全性,咱们机密数据的交换与验证等操作都悄悄的或全部走了SSL安全通道,受到“心脏出血”漏洞的影响,咱们的机密数据就有很大几率被黑客主动获取。来看几个实际案例(影响对象以及敏感数据掩盖处理)

心脏出血漏洞会造成什么影响?

心脏出血漏洞会造成什么影响?可见虽然很多网站的账户登录系统采用了SSL(HTTPS)的保护,但真正的登录行为仍是密码明文传输,过度信任了SSL。有些产品会提到自己有双因素令牌验证功能,不受到影响,但不管是双因素、三因素还是五因素,他只是个身份验证过程,成功后系统还是会给用户返回认证凭据,直接截获这种认证凭据即可绕过密码限制,直接控制用户帐号。

心脏出血漏洞会造成什么影响?

给人安全感的SSL现在成了泄漏敏感数据的元凶,用户在企业修复漏洞前产生的SSL请求有很大几率泄漏自己的敏感数据。一些网站与微博开始曝光因漏洞泄漏的用户帐号密码,以及成功登录与订单信息的截图。


五、我勒个去我该咋办?

一般情况下SSL都被用于关键的登录认证、交易系统、信息存储等位置,所以对于用户来说最重要的(也是黑客最关注的)数据就是密码,这里建议4月7日后有登录过各种网站的用户,退出当前帐号注销会话并尽量修改密码(注意该密码在其他地方的使用情况),也建议存在该漏洞的厂商对移动类APP用户强制重新授权。


不知各位是否在“拖库”横行的今天开始尝试使用一些“安全”的密码管理软件?比如K**Pass、L**Pass等,这些软件会已安全之名将用户的密码存储在云上,号称各种加密处理,但访问这些保存的密码,无非还只需要个帐号而已,而厂商肯定又为登录开启了SSL。。。提醒大家警惕余震影响


漏洞爆发后有安全团队隐晦的提出看法:“漏洞不仅存在443(SSL默认端口)上,一些已OpenSSL为基础的服务软件都可能受到该漏洞影响”,“可能不仅仅OpenSSL库存在此类安全隐患”等,乌云最新的一起漏洞报告已经出现电子邮件系统的泄密案例(WooYun-2014-56344)。


企业除了用户系统的OpenSSL升级外,还要注意使用的各种VPN、防火墙、负载均衡与邮件等设备,因为很多设备封装的操作系统默认OpenSSL库为存在漏洞的版本,所以均躺中,下面给出一些工具测试可能收到影响的版本号:

  • OpenSSL 1.0.1 到 1.0.1f (包括该版本) 存在漏洞

  • OpenSSL 1.0.1g 不存在漏洞

  • OpenSSL 1.0.0 以及分支版本不存在漏洞

  • OpenSSL 0.9.8 以及分支版本不存在漏洞


发行版Linux内置的OpenSSL安全情况如何?乌云君已知的如centos6.4存在该OpenSSL漏洞,目前官方源已经对1.0.1e分支版本进行安全更新(1.0.1e-16.el6_5.7 测试不存在漏洞),其他白帽子提供的消息,debian(1.0.1e-2+deb7u5 测试不存在漏洞),乌云君继续帮大家整理中。


有一个小插曲,乌云上某报告证实某些软件的正版授权服务器存在OpenSSL内存泄漏漏洞,导致大量正版合法序列号泄漏,可能会对购买正版软件的用户与软件企业造成一定经济损失,请注意!


六、后记

漏洞爆发后,以乌云漏洞报告平台的报告情况来看,这几乎是整个互联网的浩劫。关于漏洞已经存在好几个月之类的八卦新闻就不要在意了,踏踏实实的处理好眼下的事情才最重要。乌云君仍在通知企业修复漏洞,该问题也是乌云今后会重点关注的一个漏洞趋势。


目前国内大部分企业已迅速响应修复漏洞,但不排除已经有大量用户数据泄漏,漏洞修复后还需注意信息泄漏带来的“余震”影响!


点击阅读原文查看详细技术分析

本文始发于微信公众号(乌云漏洞报告平台):“心脏出血”漏洞会造成什么影响?

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月25日00:51:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  心脏出血漏洞会造成什么影响? http://cn-sec.com/archives/486439.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: