面对互联网当前最危险的漏洞Heartbleed bug,你应当知道的一些安全问题

标签: 前沿 Heartbleed OpenSSL SSL 网络安全 | 发表时间:2014-04-10 07:39 | 作者:cyzhou
出处:http://www.pingwest.com

bleeding-heart

昨天,关于 Heartbleed漏洞的消息在网络上引发了激烈的讨论。这个从OpenSSL项目中爆出的漏洞让攻击者可以在多种加密传输的网络数据中窃取用户信息,由于OpenSSL被广泛使用在Web服务器、邮件协议、通讯协议中,所以一时间受影响的用户数量难以估计。

在谈Heartbleed漏洞之前,我们不得不先说一下什么是OpenSSL,不过由于其和SSL有着莫大的关系而且用户平常接触到最多的也许就是SSL安全协议了,所以我们先从介绍SSL入手。

对于经常在浏览器中使用Gmail或者QQ邮箱的用户来说,如果你曾经留心过就会发现无论是使用IE还Chrome浏览器,一旦转入邮箱登录界面,浏览器地址栏就会变成https开头,而普通网页基本上都是http开头的。多出来的这个s是“安全”的缩写,它的出现就表示用户和服务器之间的通信是加密传输的。对于各类涉及密码和私人信息的网络产品来说这样的加密显然是非常必要的。

Https传输协议之所以比http安全是因为多出了SSL层,而SSL的全称则是Secure Sockets Layer(安全套接层),它是由网景公司在推出首版Web浏览器的同时提出的一种安全协议,其目的就是为网络通信提供安全及数据完整性保障,使客户与服务器应用之间的通信不被攻击者窃听。

在客户端和服务器之间通过SSL进行通信的过程中可能会需要公钥、私钥、证书等多种文件来确认安全性,而OpenSSL套件即能实现SSL协议又提供了常用的密钥、证书封装管理功能,再加上其开源和跨平台的特性,它自然就成了诸多开发人员的选择。

虽然要支持SSL协议并非一定要使用OpenSSL,但由于OpenSSL已经得到了广泛地使用,所以Heartbleed漏洞自然也就造成了广泛的影响。Heartbleed漏洞最先是由 Codenomicon和Google Security的安全研究人员发现的,它让攻击者可以远程读取使用OpenSSL的服务器内存中64kb的数据。而且,只要攻击者需要,它可以在存在漏洞的服务器中重复读取,直到找出自己想要的数据。

虽然64kb数据听上去并不大,但从网上放出的图片中我们可以看到其中已经足够包含用户名、用户密码以及个人信息在内的诸多敏感信息。对应到国内像微信公众号、微信网页版、YY语言、淘宝、陌陌等都网络服务受到了影响。

003

目前,OpenSSL官方已经放出修复版本,并且国内诸多大厂商也在第一时间迅速修补了漏洞。所以用户并不用过于担心。此外,对于心存疑虑的用户,网络上也有开发者提供了在线漏洞检测工具,用户可以登录 Filippo来检测自己访问的网站是否安全。

不过,虽然出问题的服务商正在逐步修复自家的服务,修复版的OpenSSL也已经放出,但问题并没有被完全被解决——由于利用Heartbleed漏洞攻击不会留下任何日志信息,所以大多数服务商都无法统计到底有多少用户数据被窃取,这自然也就为接下来的防护工作带来了麻烦。 对于用户来说,如果你在漏洞爆发期间登录了一些使用加密服务的站点并且输入了个人重要信息,那么为了安全起见最好还是自行修改一下账户信息。

Heartbleed漏洞事件再次显示出了网络安全的脆弱性,当然对于那些重视安全的厂商来说这也给了它们升级基础服务、增加安全强度的机会。看上去这也许是这次严重的安全威胁带来的为数不多的“好处”了。

图片来自: Zoomeye知乎

相关阅读:

     将反病毒“大数据化”,从Facebook ThreatData开始

     全球断网,可能吗?

相关 [互联网 漏洞 heartbleed] 推荐:

面对互联网当前最危险的漏洞Heartbleed bug,你应当知道的一些安全问题

- - PingWest中文网
昨天,关于 Heartbleed漏洞的消息在网络上引发了激烈的讨论. 这个从OpenSSL项目中爆出的漏洞让攻击者可以在多种加密传输的网络数据中窃取用户信息,由于OpenSSL被广泛使用在Web服务器、邮件协议、通讯协议中,所以一时间受影响的用户数量难以估计. 在谈Heartbleed漏洞之前,我们不得不先说一下什么是OpenSSL,不过由于其和SSL有着莫大的关系而且用户平常接触到最多的也许就是SSL安全协议了,所以我们先从介绍SSL入手.

heartbleed漏洞检查工具集合

- - FreeBuf.COM
4月9日,一个代号“Heartbleed”(意为“心脏出血”)的重大安全漏洞日前被曝光,它能让攻击者从服务器内存中读取包括用户名、密码和信用卡号等隐私信息在内的数据,本文总结了网友开发的Heartbleed漏洞检查工具,如下:. CVE-2014-0160 check Go语言版: Heartbleed.zip  python版:ssltest.py.

OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測

- - Tsung's Blog
OpenSSL 爆發出嚴重的安全性漏洞, 請趕快檢測 + 升級.. OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測. 關於此次事件, 此篇文章: OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞, 寫的非常清楚, 在此就不詳述, 再此摘錄部份說明: (感謝 Allen Own).

漏洞播报:OpenSSL “heartbleed” CVE-2014-0160 安全漏洞附利用测试exp

- - Seay's blog 网络安全博客
测试脚本: http://pan.baidu.com/s/1hq41y9A . OpenSSL官方网站4月7日发布 公告,有研究人员发现OpenSSL 1.0.1和1.0.2-beta版本中存在安全漏洞(编号为CVE-2014-0160),可能暴露密钥和私密通信,应该尽快修补,方法是:. 升级到最新版本OpenSSL 1.0.1g.

两款互联网登录系统曝出重大漏洞 短期内或无法修复

- - TechWeb 今日焦点 RSS阅读
几周前,OpenSSL网站加密工具曝出的“Heartbleed”漏洞,已经将整个互联网安全领域震翻了一回. 尽管绝大多数网站都在第一时间修复了它,但是一个新的问题又浮出了水面. 一名安全研究人员发现了两款登录系统上的重大漏洞,而想要修复它们,却比Heartbleed要困难得多. 据Cnet报道,新加坡南洋理工大学一位名叫Wang Jing的博士生,发现了OAuth和OpenID开源登录工具的“隐蔽重定向”漏洞(Covert Redirect).

Heartbleed测试网站在数小时内被窃走私钥

- - Solidot
OpenSSL Heartbleed漏洞的危险程度被安全专家称为是“灾难级”,攻击者能利用该漏洞窃走受影响网站的用户密码和私钥,此前的研究发现用户明文密码确实会暴露,但窃取私钥尚未有报道. 云计算公司CloudFlare发起了一个 Heartbleed挑战赛,使用nginx Web服务器和存在漏洞的OpenSSL版本搭建了一个网站,邀请挑战者通过攻击窃取私钥.

移动互联网=移动+互联网?

- 可可 - It Talks-魏武挥的blog
从名词上看,移动互联网似乎就是互联网加上一个移动. 但移动互联网远不是“移动的互联网”那么简单. 它的本质——网络部分,就和互联网大不相同;而它的表现——移动部分,也正因为移动,造就了很多和互联网相当不一样的商业机会. 而更重要也是很多人并没有注意到的是,它可能会改变整整一代人的信息处理习惯. 从网络部分而言,我们都知道,理论上互联网是没有拥有者的.

重新索引互联网

- keso - 爱范儿 · Beats of Bits
重新索引互联网 Facebook 雇佣公关抹黑 Google 的过程已经水落石出. 问题是: Google 那么多产品, Facebook 为何对 Social Circle 这么敏感. Google 号称自己的使命是“索引互联网”. 这件事的难点并非派出多少爬虫,而是对收集来的海量内容做排序:怎样让真正重要的网页,的排到 Google 搜索结果的前面来.

中美互联网差异

- leeking001 - 互联网的那点事
在互联网以指数的速度发展的今天,人们的生活已经离不开网络,那么,这两个打过在互联网方面有什 么差异呢. 我们从下面一系列与互联网相关的参数来比较两个国家,比如:互联网用户数量,互联网普及率,互联网连接的速度,域名数量,受欢迎的网站,网页浏 览器,操作系统等等. 十年前,美国是世界上的互联网头号大国,而现在很明显已经不是,取而代之的是中国.

重新索引互联网

- Ray - 最新文章 - UCD大社区
重新索引互联网 Facebook 雇佣公关抹黑 Google 的过程已经水落石出. 问题是: Google 那么多产品, Facebook 为何对 Social Circle 这么敏感. Google 号称自己的使命是“索引互联网”. 这件事的难点并非派出多少爬虫,而是对收集来的海量内容做排序:怎样让真正重要的网页,的排到 Google 搜索结果的前面来.