您的位置: 网界网 > 安全 > 正文

HeartBleed漏洞波及范围极大

2014年04月25日 01:37:46 | 作者:佚名 | 来源:福布斯中文网

摘要:容易造成如此大面积信息泄露的漏洞,却无法提前防范。Heartbleed是一个Oday漏洞,即在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。

标签
漏洞
安全
黑客
互联网
Heartbleed

4月8日或许是让很多互联网企业运维人员忙得焦头烂额的一天。

知道创宇的Evi1m0称整个下午都处于应急状态中,精神紧绷。知道创宇提供Web安全解决方案,它的创始人赵伟是福布斯中国2012年30Under30成员。而另一位在云服务领域工作的朋友也告诉我,昨晚团队的运维人员在第一时间修复了致命的安全漏洞

心脏出血:波及范围广,涉及用户账号密码甚至支付手段等敏感信息

这个被称为Heartbleed漏洞,可以直译为“心脏出血”,是4月7号国外黑客曝光的。据Vox网站介绍,来自Codenomicon和谷歌安全部门的研究人员,发现OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。

黑客只要对存在这一漏洞的网站发起攻击,每次读取服务器内存中64K数据,不断的迭代获取,就能获取程序源码、用户http原始请求、用户cookie甚至明文帐号密码等敏感信息。

而且,使用OpenSSL的源代码的网站数量巨大。多数SSL加密的网站都使用名为OpenSSL的开源软件包。谷歌、雅虎和Facebook都在使用SSL默认对其网站和网络服务进行加密。各家网银、在线支付与电商网站也广泛使用这一协议。

知道创宇援引ZoomEye团队的报告称,在对全球开放443端口的35348677个主机,进行全方位的深度探测后,发现存在漏洞的主机高达 714828 个。

在国内,知道创宇发现雅虎门户主页、微信公众号、微信网页版、YY语言、淘宝、网银、陌陌、社交、门户网站存在此漏洞。

Zero day:无法提前防御,只能比拼速度与职业性

容易造成如此大面积信息泄露的漏洞,却无法提前防范。一位提供互联网安全渗透测试的朋友告诉我,Heartbleed是一个Oday漏洞,即在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。而渗透测试则是帮助一些互联网公司寻找人为造成的漏洞,这些漏洞都是已知的。

“这意味着在漏洞被公开的当天,互联网运维人员必须赶在黑客之前修复它。”那位提供云服务的朋友说,自己网站储存了大量用户信息,一旦失守,不仅公司资料泄露,购买云服务的客户公司的隐私信息也将流向黑市。

“这个时候就是比谁速度快。”提供渗透测试的朋友称,说不定黑客已经对你的服务器及用户信息觊觎已久。他告诉我,自己第一时间告知了客户Heartbleed的存在,提醒对方运维人员赶紧行动。

按照知道创宇的说法,4月8日那晚,当黑客、安全服务提供商与互联网公司同时知晓“心脏出血”后,三股力量开始争分夺秒地埋首电脑前。

谷歌表示,已经评估了SSL漏洞,并且给谷歌的关键服务打上了补丁。Facebook称,在该漏洞公开时,该公司已经解决了这一问题。国内诸如腾讯、网易、淘宝这些大的厂商,对安全问题的应急速度相对较快。今天下午,阿里安全也在发微博公告称已修复这一漏洞。

乌云漏洞平台上很多人开始检测,到底还有多少网站没有修复这一问题。乌云是一个网络漏洞报告平台,向互联网公司提供漏洞及风险报告,帮助他们防患于未然。

但无论是那位提供渗透测试的朋友,还是来自知道创宇的安全人员,都对国内互联网从业者的职业性持保留态度。在他们看来,最危险的就是黑客已经行动,而另一方却还在睡觉。

作为无奈旁观这三股力量相互厮杀的网民,只要使用过采样OpenSSL协议的网站,都应该修改密码,因为这些密码很可能已被窃取。

[责任编辑:鹿宁宁 lu_ningning]

我也说几句