从“心血”安全漏洞谈起.docVIP

从“心血”安全漏洞谈起 　　通常，当用户访问G等网站时，会在URL地址栏看到一个“锁”型标志。这个标志表明用户在该网站上的通信信息都被加密，第三方无法读取用户与该网站之间的任何通信信息，只有接收者才能解密。如果不法分子监听了用户的对话，也只能看到一串随机字符串，而无法了解电子邮件、Facebook帖子、信用卡账号或其他隐私信息的具体内容。Open SSL正是互联网加密使用最广泛的这把“锁”。用户或许认为，Gmail和Facebook等网站上的Open SSL加密“锁”可以保证通信信息安全，而实际上，借助Open SSL的安全漏洞，不法分子可以轻易解密用户的通信信息，甚至获取服务器密钥。Open SSL存在的安全漏洞，可以使这把广泛使用的“安全锁”成为无需钥匙即可开启的“废锁”。 　　2014年4月，谷歌安全部门和芬兰安全检测公司科诺康同时发现Open SSL开源软件存在名为“心血”的安全漏洞。作为全球2/3以上互联网网站普遍采用的加密手段，Open SSL开源软件存在的安全漏洞，不仅会使网上银行、电子支付、门户网站、电子邮件等网站的用户敏感信息面临被窃取的危险，还会使网络服务器、路由器、移动智能终端等网络设备甚至国家关键信息基础设施面临受攻击的风险。此次曝光的“心血”安全漏洞虽为独立事件，但绝非偶然，这再次反映出美国政府在网络安全漏洞的获取、利用、顶层设计方面具备成熟的运行机制。 　　“心血”安全漏洞的形成原因及工作机理 　　Open SSL采用C语言开发，可以支持Linux、Windows、Mac OS等多种操作系统，具有优秀的跨平台性能，已成为目前互联网领域广泛使用的一种开源加密软件工具。用户在网站上的账户、密码及各类通信信息均通过该软件包进行加密。加密数据只有网络服务器这个接收者才能解密，不法分子即便监听用户与网络服务器之间的对话信息，也只能看见一行随机字符串，而无法获取用户实际的敏感信息。 　　此次Open SSL 1.0.2-beta及Open SSL 1.0.1系列（除1.0.1g外）多个版本存在的“心血”安全漏洞，使得Open SSL的加密功能基本无效，主要问题出在Open SSL实现传输层安全协议（TLS/DTLS）的心跳扩展代码中。当Open SSL的传输层安全协议被调用时，连接SSL一端的客户端向另一端的服务器发出一条简短的字符串（即“心跳信息”），以确认服务器在线并能获取响应；另一端的服务器会向客户端返回与“心跳信息”相匹配的信息。但是，在这个过程中，由于Open SSL未对客户端发送的字符串长度做边界检查，使不法分子可以截获正常“心跳信息”并修改其长度后发给服务器，欺骗网络服务器，从其内存中窃取相应长度的数据，并将相应空间的信息作为“心跳信息”返回给不法分子，这部分数据中，很可能包含安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等信息。虽然不法分子利用该漏洞每次只能从服务器窃取64KB字节信息，但反复多次操作后，可以拼凑出更多用户的账户、密码、通信记录等多种敏感信息。 　　“心血”安全漏洞可能产生的影响 　　由于“心血”安全漏洞属于内存泄露，可以从服务器内存中直接读取数据，即使入侵行为也不会在服务器日志中留下痕迹，所以无法确定哪些服务器曾被入侵。但从Open SSL的应用范围，可以判断“心血”安全漏洞可能产生的影响。 　　大范围波及互联网服务器及相关信息服务 　　2014年4月，英国Netcraft公司提供的网站服务器调查数据显示，全球约有66%的互联网活跃网站受“心血”安全漏洞影响。这些网站大都采用了基于Open SSL的Apache和Nginx等开源服务器。此外，由于Open SSL主要用于保护电子邮件服务器、聊天服务器、虚拟专用网络、网络应用和多种客户端软件，所以除互联网网站受到影响外，电子邮件、即时通信和虚拟专网（VPN）等信息服务都遭受了严重影响。 　　2014年4月9日，我国国家信息安全漏洞共享平台（CNVD）发布了关于“心血”漏洞的情况通报。根据监测结果，国内外一些大型互联网企业的相关VPN、邮件服务、即时聊天、网络支付、电子商务、权限认证等服务器受到漏洞影响，此外一些政府和高校网站服务器也受到影响。国内两大信息安全公司的监测数据显示，国内网站约有2.3万个（占其抽样的1.5%）和1.1万个（占其抽样的1.0%）服务器主机受影响，涉及大型电商网站、银行网银系统、第三方支付、微信、淘宝、社交网站、门户网站等等，以及126、163等邮箱、即时通信服务。截止4月10日，在全国存在“心血”安全漏洞的网站中，依然有近30%没有采取任何防护措施。 　　大量敏感数据可能遭窃取 　　目前，“心血”安全漏洞的验证脚本可以被不法分子广泛获取，而且不法分子可以