心血安全漏洞概述 毕业论文.doc

心血安全漏洞概述 摘要：近日，openssl爆出本年度最严重的安全漏洞，此漏洞在黑客社区中被命名为“心脏出血”漏洞。360网站卫士安全团队对该漏洞分析发现，该漏洞不仅是涉及到https开头的网址，还包含间接使用了openssl代码的产品和服务，比如，vpn、邮件系统、ftp工具等产品和服务，甚至可能会涉及到其他一些安全设施的源代码。openssl“心脏出血”漏洞为本年度互联网上最严重的安全漏洞。受影响版本有openssl1.0.1、1.0.1a 、1.0.1b 、1.0.1c 、1.0.1d 、1.0.1e、1.0.1f、beta 1 of openssl 1.0.2等。关键字：心血漏洞，openssl, 网络安全, 开源，边界检查正文：一、 心血漏洞起因openssl是一种开放源码的ssl/tls实现，用来实现网络通信的高强度加密，现在被广泛地用于各种网络应用程序中。由于处理tls heartbeat扩展时的边界错误，攻击者可以利用漏洞披露连接的客户端或服务器的存储器内容。由于openssl是基于c语言实现，该版本软件实现时没有安全边界检查机制，导致攻击者可以直接读取内存中的明文信息。安全专家们说，“心血”可能是互联网安全史上最致命一击：利用该漏洞，黑客可实时获取很多https开头网址的用户登录帐号密码，涉及购物、网银、微博微信、邮箱等知名网站。目前已有业内人士表示，利用这一漏洞获得了雅虎用户的密码。看到某个网站网址用了https开头，就是採用了ssl安全协议。而openssl，则是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及ssl协议，并提供了丰富的应用程序供测试或其他目的使用。换言之，openssl是互联网上销量最大的锁，是旨在保证互联网通讯安全的一种加密协议。而在周一，这把锁出现了“核弹级”的漏洞“心血”“心血”漏洞实际上让黑客能够获得服务器的密钥，而该密钥用于加密通过互联网传递的信息。黑客也可能会潜入服务器内存，一次盗走64千字节（byte）的数据包。只要有足够的耐心，黑客就可以获取足够多的数据，拼凑出访问网站用户的用户名及密码等。二、 心血漏洞的工作原理心血漏洞的原理并不复杂，就是通过技术手段获得网站服务器中用于加密互联网传递信息的网络密钥然后截获用户信息，或者黑客还可以直接潜伏在网站服务器的内存中，通过耐心地获取更多的用户数据，慢慢地拼凑出完整的用户信息。”张建介绍，通过这样的方式，黑客可以随时快捷获取众多网站的众多用户信息。openssl在实现tls和dtls的心跳处理逻辑时，存在编码缺陷。openssl的心跳处理逻辑没有检测心跳包中的长度字段是否和后续的数据字段相符合，攻击者可以利用这点，构造异常的数据包，来获取心跳数据所在的内存区域的后续数据。这些数据中可能包含了证书私钥、用户名、用户密码、用户邮箱等敏感信息。该漏洞允许攻击者，从内存中读取多达64kb的数据。具体来说，即ssl标准包含一个心跳选项，允许ssl连接一端的电脑发出一条简短的信息，确认另一端的电脑仍然在线，并获取反馈。但研究人员发现，可以通过其他手段发出恶意心跳信息，欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗，并发送服务器内存中的信息。三、 心血漏洞的影响这是来自heartbleed的官方说明：openssl在web容器如apache/nginx中使用，这两的全球份额超过66%。还在邮件服务如smtp/pop/imap协议中使用，聊天服务如xmpp协议，vpn服务等多种网络服务中广泛使用。幸运的是，这些服务很多比较古老，没更新到新的openssl，所以不受影响，不过还是有很多用的是新的openssl，都受影响！ 1. https服务（443端口）：来自zoomeye 的统计（4.8号）：全国443端口：1601250，有33303个受本次openssl漏洞影响！注意这只是443端口。全球443端口，至少受影响有71万量级（实际应该大于这个，待修正）。zoomeye openssl漏洞国内的趋势监控（随时更新，仅是443端口）：第一天：33303台服务器（说明：国内是4.8号爆发的，当天的影响服务器情况！）第二天：22611台服务器（说明：辛苦一线白帽子与运维人员等的辛苦熬夜，减了1/3！而且都是知名业务，如百度、360、微信、陌陌、淘宝等，这点非常赞！）第三天：17850台服务器（说明：又减少了近500台服务器，我估计剩下的都不那么大，不过不排除有很重要的！）第四天：15661台服务器（说明：相比第一天减少了1/2！不过减少趋势慢了）第五天：14401台服务器（说明：减少趋势持续缓慢）第六天：13854台服务器（说明：减少趋势持续缓慢） 2、在中国，雅虎门户主页、微信公众号、微信网页版、yy 语言、淘宝、网银，陌陌等热门网站均“中招”，只能升级软件修补漏洞。众多用户的账号密码可能遭到泄露，使用户隐私遭到泄露，造成不便。3、heartbleed 漏洞所造成的影响非常大，因为许多安全专家使用安全套接层 / 传输层安全 (ssl/tls) 协议为 web 服务器与 internet 浏览器之间传输的敏感信息进行加密，以保护电子商务、银行、保健及其它高风险交易。企业必须考虑到任何会用到openssl 易受攻击版本的个人版和企业版计算系统都必须考虑到其安全证书可能已遭到破坏，而需要修复。自这个漏洞被爆出后，全球的黑客与安全专家们展开了竞赛。前者在不停地试探各类服务器，试图从漏洞中抓取到尽量多的用户敏感数据；后者则在争分夺秒地升级系统、弥补漏洞，实在来不及实施的则暂时关闭某些服务。这是最危险的地方：黑客们已经纷纷出动，一些公司的负责人却还在睡觉。而如果黑客入侵了服务器，受损的远不止公司一个个体，还包括存放于公司数据库的大量用户敏感资料。更为麻烦的是，这个漏洞实际上出现于2012年，谁也不知道是否已经有黑客利用漏洞获取了用户资料；而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹，所以还没有办法确认哪些服务器被入侵，也就没法定位损失、确认泄漏信息，从而通知用户进行补救。四、 对心血漏洞的安全建议1、 个人使用电脑注意（1） 谨慎使用远程。当我们使用电脑的时候，由于工作或者别的需要，有时候是允许他人远程自己的电脑的。但这里要注意了，一定要谨慎使用远程服务，尤其是陌生人，或者第三方提出的远程要求（2）登录网站要注意。“心血”漏洞的范围波及很大，不仅很多网站服务器收到影响，部分网络设备中也存在。当我们在的登录网站的时候一定要注意了，不要登录一些不靠谱的网站。当必须要登录一些网站时，可以把网站先放到百度安全中心，360网站卫士等提供的心血”漏洞检查，然后确定ok后再登录。（3）加强自我账户的防护意识。黑客们会利用“心血”漏洞窃取一些隐私，银行卡，账号等。那么个人在要及时的整理自己的账号，对自己的一些重要的聊天账号，支付功能，网银账号或密码做一些修改，不要随便登录。 （4）不要随意和别人共享网络。由于心血”漏洞来得太突然了，为了电脑的安全起见，还是不要随意和别人共享网络，尤其是通过自己的笔记本将网络分享给其他手机，电脑。这样做还是有风险存在的。毕竟现在也波及到一部分手机用户了。当然了，也不要总想着去蹭别人的网。（5） 及时关注“心血”漏洞状况，吸取一些安全公司的建议。截止目前为止，“心血”漏洞是安全协议openssl爆出本年度最严重的安全漏洞，很多网站的和服务器都受到影响，一些大的安全公司，如百度，360，沃通等公司都推出了一些相应的检测，修复，预防等对策。作为普通用户，要及时采纳他们提供的一些建议。2、对系统而言如果发现系统受此漏洞影响，可以采用如下方式：（1）升级应用服务器中的openssl版本，目前官方给出的版本openssl 1.0.1g已经解决了该问题。尽快升级到openssl1.0.1g版本或者使用-dopenssl_no_heartbeats重新编译openssl。（2）更换应用服务器，将应用服务器改为专业厂商提供的安全网关产品或者商业应用服务器产品来提供https代理服务。五、结论和启示 2014年4月8日，这一天，互联网世界发生了两件大事：一、微软正式宣布xp停止服务退役；第二件，openssl的大漏洞曝光。 其实很多普通人更只关心第一件事，因为与自己切身相关。但事实上，第二件事，才是真正的大事件。 这个漏洞被曝光的黑客命名为“heartbleed”，意思是“心脏出血”代表着最致命的内伤。 这就像什么呢？你背靠着城墙与敌人战斗，突然，墙垮了。 heartbleed漏洞极其危险，漏洞可能会以各种不同的方式影响每一位互联网用户。并且其很难检测出来，因为此漏洞可以让入侵的黑客在数据传输过程的极早期阶段发动攻击，从而盗取相关的数据。codenomicon公司联合创始人兼首席研究官阿瑞塔卡能（ari takanen）将此漏洞比作是“甚至在你锁门之前小偷就开始在大楼内偷盗”一样。openssl自己出现了漏洞，而且是非常高危胁的漏洞。利用这个漏洞，黑客可以轻松获得用户的cookie，甚至明文的帐号和密码。 事实上，就漏洞本身来说，现在黑客们争夺的就是时间，一旦主要的网站们完成漏洞修复，这一波地震就能算是过去，大家自然回归常态，该网购的网购，该玩的玩。 反观整个事件，有一个更大的意义，它让所有人重新回过头来反思：当我们认为安全的一切，都突然变得不安全，我们又将如何维持这个虚拟世界的存续与稳定？ 没有所谓的绝对的安全，在日益发展的今天，我们该去做的事情还有很多，网络安全其实和我们普通大众一直是息息相关的，我们该去认识该去了解的还有很多，毕竟，世界是一直在发展着的。 参考文献1工程师讲述heartbleed漏洞发现过程：偶遇！/a/20140411/020404.htm2教学视频：heartbleed是什么？/2014/04/09/what-is-heartbleed-the-video/3关于openssl存在高危漏洞可被利用发起大规模攻击的情况通报（4月15日结果）/webinfo/show/33994普通用户如何应对heartbleed漏洞？/20140409/n397937004.shtml5如何应对影响了66%网站的heartbleed漏洞：立刻修改密码/14/0409/12/9pd1vfr100094odu.html6“心脏出血”漏洞能补上 安全“地震”被夸大？/a/20140410/001882.htm7openssl漏洞对大众影响几何？ u盾仍可放心使用/2014/0409/233604.shtml8当安全协议不安全了:openssl漏洞http:/blog.knownsec.co