heartbleed漏洞事件：可怕的不是公開的漏洞，而是未公開的漏洞

時(shí)間：2022-05-25 00:12:01 | 來源：網(wǎng)絡(luò)營(yíng)銷

時(shí)間：2022-05-25 00:12:01 來源：網(wǎng)絡(luò)營(yíng)銷

4月8日，對(duì)于互聯(lián)網(wǎng)界似乎是不平常的一天。這一天，一個(gè)代號(hào)“心臟出血”的重大互聯(lián)網(wǎng)安全漏洞被國(guó)外黑客曝光。隨著65.49.2.178事件（具體可查看億企邦發(fā)布的《65.49.2.178事件:專家呼吁中國(guó)應(yīng)盡快建立DNS監(jiān)控系統(tǒng)》相關(guān)介紹）發(fā)生還不到3個(gè)月的時(shí)間，黑客們和網(wǎng)絡(luò)安全漏洞的檢測(cè)者們又都度過了一個(gè)不眠之夜。

其實(shí)在4月7日這個(gè)細(xì)節(jié)公布之后，4月8日國(guó)內(nèi)就開始對(duì)這個(gè)進(jìn)行了應(yīng)急，到下午的時(shí)候，比如說有些互聯(lián)網(wǎng)公司，像百度、360、騰訊、阿里他們的應(yīng)急團(tuán)隊(duì)就開始進(jìn)行大面積的修補(bǔ)，但是這個(gè)修補(bǔ)過程實(shí)際上并不會(huì)說有那么快。

1、基礎(chǔ)安全協(xié)議的“心臟出血”

據(jù)負(fù)責(zé)網(wǎng)絡(luò)安全的專家透露：OpenSSL的源代碼中存在一個(gè)漏洞，可以讓攻擊者獲得服務(wù)器上64K內(nèi)存中的數(shù)據(jù)內(nèi)容。這部分?jǐn)?shù)據(jù)中，可能存有安全證書、用戶名與密碼、聊天工具的消息、電子郵件以及重要的商業(yè)文檔等數(shù)據(jù)。

OpenSSL是目前互聯(lián)網(wǎng)上應(yīng)用最廣泛的安全傳輸方法(基于SSL即安全套接層協(xié)議)。可以近似地說，它是互聯(lián)網(wǎng)上銷量最大的門鎖。而Sean爆出的這個(gè)漏洞，則讓特定版本的OpenSSL成為無需鑰匙即可開啟的廢鎖。

入侵者每次可以翻檢戶主的64K信息，只要有足夠的耐心和時(shí)間，他可以翻檢足夠多的數(shù)據(jù)，拼湊出戶主的銀行密碼、私信等敏感數(shù)據(jù)。假如戶主不幸是一個(gè)開商店的或開銀行的，那么在他這里買東西、存錢的用戶，其個(gè)人最敏感的數(shù)據(jù)也可能被入侵者獲取。

據(jù)一位安全行業(yè)人士在億企邦上透露，他在某著名電商網(wǎng)站上用這個(gè)漏洞嘗試讀取數(shù)據(jù)，在讀取200次后，獲得了40多個(gè)用戶名、7個(gè)密碼，用這些密碼，他成功地登錄了該網(wǎng)站。

因此，發(fā)現(xiàn)者們給這個(gè)漏洞起了個(gè)形象的名字：heartbleed，心臟出血。這一夜，互聯(lián)網(wǎng)的安全核心，開始滴血。

2、關(guān)于“心臟出血”漏洞的特點(diǎn)

今天，在“心臟出血”事件過去2天之后，我們?cè)傺芯窟@個(gè)漏洞細(xì)節(jié)后發(fā)現(xiàn)它確實(shí)是與眾不同的，如同網(wǎng)友調(diào)侃到的：“以前房子塌了都是因?yàn)榻ㄖ旧硎嵌垢こ蹋@次我們知道原來腳下的地球也可能是豆腐渣工程，沒事會(huì)給你來個(gè)大地震。”

之所以安全界人士不吝自己的夸張之詞來形容這個(gè)漏洞，億企邦覺得主要是因?yàn)椋?br>
（1）、影響范圍巨大

僅僅是受影響的Nginx和Apache就占據(jù)了web server 70%以上的市場(chǎng)。

（2）、易于利用

隨機(jī)獲取用戶信息，是攻擊的第一步，也幾乎是最后一步。只要有攻擊工具，無需任何專業(yè)知識(shí)就可以完成。

（3）、難于檢測(cè)

攻擊所用的心跳包并非是完整的HTTP會(huì)話，不會(huì)在web server留下日志。

唯一的幸運(yùn)是，這個(gè)漏洞難以讓攻擊者精確瞄準(zhǔn)指定用戶，除非能提前獲知目標(biāo)訪問的確切時(shí)間。攻擊的效果就如同對(duì)著人群亂開槍。

3、關(guān)于攻擊代碼

HeartBleed（心臟出血）簡(jiǎn)單的利用手法決定了它可以寫腳本來自動(dòng)化，就在昨天凌晨，Mustafa在Github上發(fā)布了批量掃描工具，作為目標(biāo)的1000個(gè)大網(wǎng)站中，Yahoo，Sogou等中招。如下圖所示：

隨即是更大規(guī)模的掃描，截止到昨天凌晨，Alexa前10000的網(wǎng)站中，1300余個(gè)中招。

群里有人開始求工具，隨即發(fā)現(xiàn)攻擊代碼(也叫exploit)已經(jīng)公布在了著名的exploit發(fā)布網(wǎng)站exploit-db上：

又過了24小時(shí)，針對(duì)FTP、SMTP和POP3協(xié)議的攻擊代碼也出現(xiàn)了(OpenSSL是一個(gè)底層架構(gòu)，并非只用于HTTP)。攻擊代碼的放出，意味著“腳本小子”們開始加入這場(chǎng)party，攻擊行為的規(guī)模會(huì)迅速擴(kuò)大，任何網(wǎng)站都不應(yīng)該有僥幸心理。

這個(gè)漏洞從知曉原理到寫出攻擊代碼，是有一定門檻的。只有少數(shù)人懂得利用原理的漏洞也許難以造成大的破壞，但傻瓜化利用工具的大量流傳卻可以做到。

4、問題的應(yīng)對(duì)與新的問題

目前，ZoomEye仍在持續(xù)不斷地給全球服務(wù)器”體檢“，這個(gè)過程需要20小時(shí)左右。相比之下，僅僅給國(guó)內(nèi)服務(wù)器體檢需要的時(shí)間短得多，僅僅需要22分鐘。

目前，專家已經(jīng)將這份名單提交給CNCERT/CC(國(guó)家互聯(lián)網(wǎng)應(yīng)急中心)，由后者進(jìn)行全國(guó)預(yù)警。但是，除了移動(dòng)、聯(lián)通等這些大型企業(yè)外，CNCERT也沒有強(qiáng)制力確保其他公司看到預(yù)警內(nèi)容，最后可能還是需要媒體持續(xù)曝光一些“帶病”服務(wù)器，以此倒逼相關(guān)公司重視該漏洞。

而在漏洞修補(bǔ)期間，普通消費(fèi)者與公司均應(yīng)該采取相關(guān)措施規(guī)避風(fēng)險(xiǎn)。對(duì)于普通用戶來說，專家建議在確認(rèn)有關(guān)網(wǎng)站安全之前，不要使用網(wǎng)銀、電子支付和電商購物等功能，以避免用戶密碼被鉆了漏洞的駭客捕獲。“一位銀行朋友告訴我，他們補(bǔ)上這個(gè)漏洞需要兩天時(shí)間。這兩天大家最好就別登錄網(wǎng)銀了，確認(rèn)安全后再登。如果已經(jīng)登錄過了，那就考慮換一下密碼吧。”

與用戶的消極避險(xiǎn)不同，相關(guān)互聯(lián)網(wǎng)企業(yè)則應(yīng)該盡快進(jìn)行主動(dòng)升級(jí)。升級(jí)到最新的OpenSSL版本，可以消除掉這一漏洞，這是目前企業(yè)最便捷的做法。但在升級(jí)后，理論上還應(yīng)該通知用戶更換安全證書(因?yàn)槁┒吹拇嬖?，證書的密鑰可能已泄漏)，并通知用戶盡可能地修改密碼。后面這兩個(gè)措施，企業(yè)實(shí)施起來會(huì)面臨很大的代價(jià)，也只能通過媒體盡量曝光，讓意識(shí)到的用戶重新下載證書并自行修改密碼了。

由于“心臟出血”漏洞的廣泛性和隱蔽性，未來幾天可能還將會(huì)陸續(xù)有問題爆出。在互聯(lián)網(wǎng)飛速發(fā)展的今天，一些協(xié)議級(jí)、基礎(chǔ)設(shè)施級(jí)漏洞的出現(xiàn)，可能會(huì)打擊人們使用互聯(lián)網(wǎng)的信心，但客觀上也使得問題及時(shí)暴露，在發(fā)生更大的損失前及時(shí)得到彌補(bǔ)。作為身處其中的個(gè)人，主動(dòng)應(yīng)變、加強(qiáng)自我保護(hù)，可能比把安全和未來全部托付出去要負(fù)責(zé)任一些。

5、漏洞背后的節(jié)操

這是一場(chǎng)互聯(lián)網(wǎng)上罕見規(guī)模的“流血事件”。主要受害者，不是以往第三方漏洞事件中易受沖擊的中小網(wǎng)站，而是樹大招風(fēng)的大網(wǎng)站。

HeartBleed（心臟出血）是由Google的安全人員首先發(fā)現(xiàn)并公布的，這應(yīng)該是一次“負(fù)責(zé)任披露”：即先通知廠商，等待廠商發(fā)布補(bǔ)丁之后再公開。而我們不禁要問：為什么仍然有這么多大網(wǎng)站成了受害者？

這里首先科普一個(gè)概念：1 Day攻擊。

一個(gè)漏洞的發(fā)補(bǔ)丁之日，就是其公開之時(shí)。補(bǔ)丁本身就是分析漏洞的最佳依據(jù)，黑客會(huì)在第一時(shí)間通過補(bǔ)丁前后代碼的比對(duì)分析出漏洞原理，并開發(fā)出攻擊代碼。而這時(shí)，可能絕大多數(shù)用戶還沒來得及打上補(bǔ)丁，淪為待宰羔羊。這就是所謂的“1 Day攻擊”，前文提到的那些事件，均屬此類。

而這個(gè)漏洞，僅僅通知作為開發(fā)廠商的OpenSSL是遠(yuǎn)遠(yuǎn)不夠的，后者發(fā)布補(bǔ)丁后，1 Day攻擊就會(huì)開始，漏洞的發(fā)現(xiàn)者沒有理由不知道這點(diǎn)。他知道漏洞的危害，甚至可以很容易掃描到有哪些網(wǎng)站會(huì)受沖擊。作為安全責(zé)任最大的一方，他做了一個(gè)精美的介紹網(wǎng)站，甚至設(shè)計(jì)了漏洞的logo，而我們不知道，他是否也用過同樣的精力通知那些大網(wǎng)站采取臨時(shí)措施避免攻擊。

再說說國(guó)內(nèi)。

“白帽子”這個(gè)稱呼是給最有節(jié)操的黑客的：以研究為目的，發(fā)現(xiàn)漏洞會(huì)通報(bào)廠商修補(bǔ)，以避免被攻擊者利用造成損失。

烏云作為中國(guó)最大的白帽子漏洞報(bào)告平臺(tái)，給曾經(jīng)被黑色產(chǎn)業(yè)充斥的國(guó)內(nèi)安全界帶來了一抹亮色。在這次事件中，卻變成了黑客們秀戰(zhàn)果的場(chǎng)所。如下圖所示：

網(wǎng)站名，漏洞名俱在，漏洞狀態(tài)中，很多還是“等待廠商處理”，就這樣被公開在烏云上頗有“此地?zé)o銀三百兩”的感覺。本人試著掃描了一個(gè)，漏洞還在。這就意味著，無數(shù)瀏覽烏云網(wǎng)的人都可能步其后塵，所謂的漏洞報(bào)告反而讓網(wǎng)站成了聚光燈下的獵物。

如上面這張圖所示，不用說你就知道是哪個(gè)網(wǎng)站被搞啦！(時(shí)至發(fā)稿，已經(jīng)修補(bǔ))

6、可怕的不是公開的漏洞，而是未公開的漏洞

一個(gè)漏洞的公開之日就是死亡倒計(jì)時(shí)的開始。如以前所有的漏洞事件一樣，在它被慢慢補(bǔ)上并淡出人們視線之前，黑客和安全人員都在抓緊最后的時(shí)間進(jìn)行賽跑。

據(jù)億企邦了解，就在前天晚上，Yahoo郵箱服務(wù)器被證實(shí)有漏洞，不過在凌晨時(shí)發(fā)現(xiàn)已被修補(bǔ)，其間不知有多少郵箱躺槍了。而還存在一種更可怕的可能：從泄露出的內(nèi)存數(shù)據(jù)，有可能還原出SSL證書的私鑰(雖然目前還沒有人證實(shí)能做到這一點(diǎn))，這意味著在他們?cè)诟冻鲚^大代價(jià)得到新簽發(fā)的證書之前，Yahoo網(wǎng)站的SSL加密將失去意義。通俗的說，你將永遠(yuǎn)不知道提交給Yahoo的密碼有沒有在傳輸中被人截獲，甚至無法得知正在訪問的那個(gè)網(wǎng)站是不是Yahoo真身。

對(duì)此，億企邦也認(rèn)為，這種時(shí)候就算關(guān)閉SSL服務(wù)也好過放在那讓人攻擊，Yahoo這樹太大了，多拖一分鐘都很危險(xiǎn)。

也許，這個(gè)操心是多余的。一般漏洞在公開之前都會(huì)有一段地下流傳期，有的漏洞在公開前甚至被地下用過一年。這個(gè)漏洞又被用過多久？有多少賬號(hào)，甚至證書私鑰泄露了？細(xì)思極恐呀！

億企邦點(diǎn)評(píng)：

程序員有一句名言：It’s not a bug. It’s a feature. ——這不是bug，是功能。

而這句話的黑客版是：It’s not a vulnerability. It’s a backdoor. ——這不是漏洞，是后門。