心血安全漏洞论述.docx

心血安全漏洞论述 摘要：大多数的ssl加密网站都基于名为openssl的开源软件包，ssl标准包含heartbeat选项，让ssl连接一端的计算机发出短信息来确认另一台计算机仍处于联网状态并获得回复。4月7日，研究人员公布，存在发送伪装的恶意heartbeat信息诱使ssl连接另一端的计算机泄露秘密信息的的可能性。也就是说计算机会被诱使传输服务器内存中的内容。该漏洞为本年度互联网上最严重的安全漏洞，堪称网络核弹，影响全世界数亿网民。关键字：心血漏洞，openssl,网络安全,软件包正文：一、基本概念：1） 安全协议openssl：openssl是套开放源代码的ssl包，其库是以c语言所写成，实现了基本的传输层数据加密功能。openssl为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及ssl协议，在一些涉重要个人信息的网站如网银、在线支付、电商网站、门户网站、电子邮件等服务上被广泛使用。2） 开源（open source，开放源码)：用于描述那些源码可以被公众使用的软件，并且此软件的使用、修改和发行也不受许可证的限制。二、心血漏洞起因 openssl软件被很多流行的社交网络网站、搜索引擎、银行和网上购物网站用于保护个人和财务数据安全。这使得知道这一漏洞存在的人可以从网络服务器里窃取用户名、密码、信用卡信息和其他各种敏感信息。这也导致服务器的加密密钥很容易被窃取。一旦被窃取，这些密钥将被不法分子用于解密网站服务器和网站用户之间传输的数据。目前，大多数在线购物平台及金融网站，在pc端用ie打开的时候，都使用了“https:/”传送协议，在用户与服务器进行交互的时候，服务器与客户端每隔一定时间（比如数秒）进行一次数据通信，这种间歇性通信时发送的数据包被称之为“心跳包”。这种通信过程出现的漏洞，因此得名“心跳出血”漏洞。为了保障用户的通信安全，常用的一种加密技术便是ssl。ssl(securesocketslayer安全套接层)的重要作用在于：认证用户和服务器，确保数据发送到正确的客户机和服务器；加密数据以防止数据中途被窃取；维护数据的完整性，确保数据在传输过程中不被改变。在加密技术中，开源的openssl是一种最常用的加密模式，相当于互联网上销量最大的门锁。目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。三、工作原理 openssl在实现tls和dtls的心跳处理逻辑时，存在编码缺陷。openssl的心跳处理逻辑没有检测心跳包中的长度字段是否和后续的数据字段相符合，攻击者可以利用这点，构造异常的数据包，通过安全链接(ssl)提交到有该漏洞的服务器时能获取到某一块64kb的内存数据，但该内存数据很可能是不完整的，也可能是无价值的，如果碰巧该数据有完整信息且是用户的敏感数据，那将会对该网站用户造成危害，诸如泄露证书私钥、用户名、用户密码、用户邮箱等敏感信息。具体来说，即ssl标准包含一个心跳选项，允许ssl连接一端的电脑发出一条简短的信息，确认另一端的电脑仍然在线，并获取反馈。但研究人员发现，可以通过其他手段发出恶意心跳信息，欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗，并发送服务器内存中的信息。这一漏洞的原理并不复杂，就是通过技术手段获得网站服务器中用于加密互联网传递信息的网络密钥然后截获用户信息，或者黑客还可以直接潜伏在网站服务器的内存中，通过耐心地获取更多的用户数据，慢慢地拼凑出完整的用户信息。四、影响openssl在web容器如apache/nginx中使用，这两的全球份额超过66%。还在邮件服务如smtp/pop/imap协议中使用，聊天服务如xmpp协议，vpn服务等多种网络服务中广泛使用。幸运的是，这些服务很多比较古老，没更新到新的openssl，所以不受影响，不过还是有很多用的是新的openssl，都受影响。自这个漏洞被爆出后，全球的黑客与安全专家们展开了竞赛。前者在不停地试探各类服务器，试图从漏洞中抓取到尽量多的用户敏感数据；后者则在争分夺秒地升级系统、弥补漏洞，实在来不及实施的则暂时关闭某些服务。这是最危险的地方：黑客们已经纷纷出动，一些公司的负责人却还在睡觉。而如果黑客入侵了服务器，受损的远不止公司一个个体，还包括存放于公司数据库的大量用户敏感资料。该软件存在一个会导致用户通讯内容泄露的重要漏洞，更为致命的是openssl存在这种漏洞已有约两年时间。利用这一漏洞，黑客坐在自己家里电脑前，就可以实时获取到很多https开头网址的用户登录账号密码，包括大批网银、知名购物网站、电子邮件等。专家因此担心，是否已经有黑客利用漏洞获取了用户资料；而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹，所以还没有办法确认哪些服务器被入侵，也就没法定位损失、确认泄漏信息，从而通知用户进行补救。自4月7日爆出有关漏洞消息后，有安全公司在其官方网站上发布新闻称，该公司安全检测平台对国内120万家经过授权的网站扫描，其中有11440个网站主机受openssl“心脏出血”漏洞影响。4月7日、4月8日期间，共计约2亿网友访问了存在openssl漏洞的网站。艾媒咨询ceo张毅表示，攻击者其实只可以获取固定的某一块内存数据，所以获取到什么样的数据完全是凭运气，有可能那一部份内存始终是存放不变的且无用的信息，攻击将会无效；如果该内存数据是变动的，那攻击者可以反复获取，直到获取到完整的敏感数据为止，要达到这样的结果是不容易的。综合看，被利用的几率很低，约在百万分之一以下。openssl是ssl协议的一种实现，linux系统上自带，默认的ssl实现，算是系统级的漏洞，但是危害远没有木马的危害大，影响不会如一些安全公司所声称得那样大。360安全专家表示这次关于该漏洞的报道，因为各种原因，渲染得很吓人，其实普通网民不用担心。不过，网络安全向来无小事，希望各网站运营商要高度重视本次安全事故，要第一时间堵上漏洞，不给犯罪分子可乘之机。五、安全建议既然“心血”漏洞存在一定危害，对于普通市民而言，要防范这种大规模集中爆发的漏洞非常困难，这种漏洞主要考验的是相关网站的技术人员，由他们在内部进行网站升级等修复工作，以解决漏洞造成的危害。不过市民可以做些力所能及的事情防护漏洞可能造成的危害。由于该漏洞主要针对https开头的网站，因此如果最近几天内市民登录过这种网站，特别是登录过淘宝、网银等存在财产安全的网站时，可以修改自己的登录或支付密码，然后利用这个时间差，让相关网站的技术人员有时间修复漏洞；或者立刻将自己电脑中的杀毒软件进行升级，也可以一定程度可以保护自己的信息和财产安全。对广大互联网服务商而言，应尽快将该协议版本升级，进行修复，以保证安全。国家信息安全漏洞共享平台表示，目前该漏洞并未造成太大影响，但为防范可能的攻击，网站服务提供商一定要及时下载升级更新，如果无法及时升级，则需要重新编译。同时，有必要采用第三方网站安全防护平台或专用防护设备为服务器提供防护。许多安全专家建议使用安全套接层 / 传输层安全 (ssl/tls) 协议为 web 服务器与 internet 浏览器之间传输的敏感信息进行加密，以保护电子商务、银行、保健及其它高风险交易。企业必须考虑到任何会用到六、结论和启示openssl代码编写者西格尔曼表示他和另一名代码审阅者本该在2年前发现此漏洞。当时他们正在为开源openssl加密协议编写代码，并提交了大量漏洞修复，同时添加了一些新的特征，不幸的是，在其中一个新特征里，西格尔曼忘记验证一个包含字符串长度的变量。在他递交代码后，另一名审阅者“很明显也没有注意到他的失误”，所以这一错误就出现在最终发布的版本里。西格尔曼比表示这一错误“非常小”，但它的影响是“致命的”。这只是一个新特征里的简单的程序错误，不幸的是，它恰巧影响了系统安全。显然，那些开发管理该安全协议的人士，需要更好的基础设施和更多资金，该安全协议为互联网的剩余部分提供支持互联网的大部分软件基础设施都是由志愿者打造和维护的，即使代码非常不错，他们获得的回报也不多，一旦代码出现问题，他们将受到批评，有时候甚至是恶狠狠的嘲笑。从openssl的heartbleed漏洞我们可以看出，尽管已经被大家广泛使