如何在全球骇客嗜血战场 OpenSSL Heartbleed

2020-07-02 04:49浏览 : 188

如何在全球骇客嗜血战场 OpenSSL Heartbleed

SSL 已经是今日全球应用层面最广的加密技术,不论是电子商务、个资安全、机敏资料传输都靠它保护,是大家接触比较多的安全协议之一。看到某个网站用了 https:// 开头,就是採用了 SSL 安全协议。

全球有 66% 主机和网路设备,使用基于开放原始码套件 OpenSSL 的程式码,而近日 Google 资安团队发布的 OpenSSL HeartBleed (CVE-2014-0160)漏洞,号称近十年来网路上最大的漏洞,影响超过 17.5% 的全球网站,只要你家有十台不同厂牌的使用 SSL 设备,就有两台可能中奖。更有网友 测试了世界最流行​​的 1000 家网站 ,结果 30% ~ 40% 的都有问题。

这个漏洞的可怕之处在于,只要送出简单的 SSL 协定 Heartbeat 封包,受影响设备就会随机回传记忆体中 64KB 的资料。

若攻击者不断尝试,就有超高机率回传尚未加密的明码密码,交易信用卡卡号、个资,甚至用来加密的 PKI 私密金钥 Private key。大家经常到访的支付宝、微信、淘宝等网站也存在这个漏洞。

骇客圈私下称此漏洞为「SSL 记忆体刮刮乐」。

HITCON 台湾骇客年会所举办的「HITCON Free Talk」今天邀请到台湾多位顶尖资安专家,现场展示 OpenSSL HeartBleed 破坏力,并提供各大厂牌正确修补方式,若尚未释出 patch 如何组合防火墙规则可降低被攻击风险。

以下文字为顶尖资安顾问公司 DEVCORE 戴夫寇尔 CEO、HITCON 台湾骇客年会副总召翁浩正(Allen Own)演讲摘要。

OppenSSL Heartbleed 到底是一个什幺样的漏洞?

1. OpenSSL 公告了一个极度严重的漏洞(CEV-2014-0160),被称为「Heartbleed」,而他确实也如同心脏喷出血般的严重,根本就是 全球骇客的嗜血战场 。

2. 攻击者从伺服器记忆体中读取 64 KB 的资料。利用传送 heartbeat 的封包,在封包中控制变数导致 memcpy 函数複製错误的记忆体资料,因而截取记忆体中可能存在的机敏资料。

其中机敏资料包括:私密金钥、Cookie、SESSION ID、帐号密码、个人资料(信用卡资料)。

影响版本範围:

1. 影响範围:1.0.1 至 1.0.1f / 1.0.2-beta1

2. 修复版本:1.0.1g / 1.0.2-beta2

3. 影响服务有:HTTP、SMTPS、IMAPS、POP3S 等使用 OpenSSL 的服务。

影响範围系统版本:

1. Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4

2. Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11

3. CentOS 6.5, OpenSSL 1.0.1e-15

4. Fedora 18, OpenSSL 1.0.1e-4

5. OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)

6. FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)

7. NetBSD 5.0.2 (OpenSSL 1.0.1e)

8. OpenSUSE 12.2 (OpenSSL 1.0.1c)

如何在全球骇客嗜血战场 OpenSSL Heartbleed

(漏洞发生示意图)

受害範围 :

根据网路扫描工具Zmap的研究,针对 Alexa 前一百万个网域进行扫描。 2014 年 4 月 13 日 11:00 AM EDT ,有 45 % 的网站支援 TLS,6.2% 网站含有 Heartbleed 弱点。

2014 / 4 / 16 台湾受害数据:

1. Port 443 有 3814786 台

2. Port 443 有 OpenSSL 的有 33522 台

3. Port 443 有 OpenSSL 漏洞的有 2424 台

如何自我检测?

请前往

应对措施(管理者):

1. 更新 OpenSSL 至 1.0.1g 或 1.0.2 -beta2 并注意有无后续更新。

2. 重新产生金钥(Private Key 外洩)、Session(Session ID 外洩)、密码(密码外洩),并撤销原本的金钥。

3. 若无法更新,重新编译 OpenSSL 以关闭 heartbleed 功能。

4. 使用 Perfect Forward Secrecy(PFS),在未来类似风险发生时减低伤害。

5. 使用 IDS、IPS 等设备来侦测 Heartbleed 攻击(Snort Rule SID 30510 到 30517)。

6. 确认自己的 OpenSSL 版本是否在受害範围。

7. 使用 ssltest 检测工具检测是否含有漏洞。

8. 更新 OpenSSL 至 1.0.1g 或 1.0.2-beta2。

9. 重开所有与 OpenSSL 函式库相关只服务。

10. 重新产生 SSL Private Key(因为 Private Key 可能藉由漏洞外洩)。

11. 将网站旧凭证撤销。

12. 清除所有目前网页伺服器上的 Session(因为可能遭到窃取)。

13. 必要时更换网站内使用者密码,或是密切追蹤网站是否有帐号盗用的情况发生。

我一定得更新吗?

许多业者抱持着侥倖的心态,想说外洩的目标不会轮到自己。如果大家看到这几天全世界资安人员 / 骇客不眠不休的捞取资料,应该会彻底消灭侥倖的想法乖乖做好防护。

在漏洞揭露的头几天,就已经陆续看到不少骇客进入 Google、Facebook、Yahoo! 等伺服器,并且撰写大规模扫描工具大量攻击。除非你有把握自已的伺服器没有任何连线,不然还是请乖乖更新吧。

一般大众应有的应对措施

1. 注意常用的重要网站服务,是否有针对 Heartbleed 漏洞的更新措施。不少大公司都有发出公告、公告信等。

2. 若常用网站服务有遭遇此风险,记得更换帐号密码。

3. 若这段时间有网站通知更换密码,也要注意是否为钓鱼信件。注意自己的帐号是否有异常活动。

从这次核弹级的资安事件中我们可以学到什幺 ?

不管哪种攻击手法、多老旧的漏洞手法,在未来都可能会再度发生。程式码的 Review 非常重要,一定要在开发过程中导入程式码 Review 机制,以免开发者写出含有安全疑虑的程式码。

另外,加密、Session 控管、金钥控管等议题,是永远的课题。一天没处理好,在未来的风险中会再度受害。

风险永远会发生在你猜不到的地方,可能是程式、可能是函式库、可能是加密协定、更可能是乱数产生器。

延伸阅读:

 全球网路爆发核弹级密码漏洞,危机网站清单大公开


上一篇:
下一篇:

相关推荐

猜你喜欢

申博aa0000.com|知道乐园|分享评测|网站地图 博亿堂b8et98app_竞博app下载地址 九州bt365体育投注_e乐彩APP注册旧版 新时代赌场手机_mg游戏账号中心 新濠娱乐三元_极彩在线app下载 狗万·首页_游戏娱乐平台注册送礼金 申博sunbet代理_环球体育下载ios 万家乐国际app_众盈娱乐下载 2020下载app送38元彩金_星河网上娱乐 金沙电子app_sunbeAPP下载菲律宾 葡京网站大全app_上葡京体育app