心血漏洞论文.docVIP

心血安全漏洞概述 信安1101 李磊 201109040109 摘要：近日，OpenSSL爆出本年度最严重的安全漏洞，此漏洞在黑客社区中被命名为“心脏出血”漏洞。360网站卫士安全团队对该漏洞分析发现，该漏洞不仅是涉及到https开头的网址，还包含间接使用了OpenSSL代码的产品和服务，比如，VPN、邮件系统、FTP工具等产品和服务，甚至可能会涉及到其他一些安全设施的源代码。OpenSSL“心脏出血”漏洞为本年度互联网上最严重的安全漏洞。受影响版本有OpenSSL1.0.1、1.0.1a 、1.0.1b 、1.0.1c 、1.0.1d 、1.0.1e、1.0.1f、Beta 1 of OpenSSL 1.0.2等。 关键字：心血漏洞，OpenSSL, 网络安全, 开源，边界检查 正文： 心血漏洞起因 OpenSSL是一种开放源码的SSL/TLS实现，用来实现网络通信的高强度加密，现在被广泛地用于各种网络应用程序中。由于处理TLS heartbeat扩展时的边界错误，攻击者可以利用漏洞披露连接的客户端或服务器的存储器内容。由于OpenSSL是基于C语言实现，该版本软件实现时没有安全边界检查机制，导致攻击者可以直接读取内存中的明文信息。 安全专家们说，“心血”可能是互联网安全史上最致命一击：利用该漏洞，黑客可实时获取很多https开头网址的用户登录帐号密码，涉及购物、网银、微博微信、邮箱等知名网站。目前已有业内人士表示，利用这一漏洞获得了雅虎用户的密码。　　看到某个网站网址用了https开头，就是採用了SSL安全协议。而OpenSSL，则是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，并提供了丰富的应用程序供测试或其他目的使用。换言之，OpenSSL是互联网上销量最大的锁，是旨在保证互联网通讯安全的一种加密协议。而在周一，这把锁出现了“核弹级”的漏洞“心血”“心血”漏洞实际上让黑客能够获得服务器的密钥，而该密钥用于加密通过互联网传递的信息。黑客也可能会潜入服务器内存，一次盗走64千字节（byte）的数据包。只要有足够的耐心，黑客就可以获取足够多的数据，拼凑出访问网站用户的用户名及密码等。 心血漏洞的工作原理 心血漏洞的原理并不复杂，就是通过技术手段获得网站服务器中用于加密互联网传递信息的网络密钥然后截获用户信息，或者黑客还可以直接潜伏在网站服务器的内存中，通过耐心地获取更多的用户数据，慢慢地拼凑出完整的用户信息。”张建介绍，通过这样的方式，黑客可以随时快捷获取众多网站的众多用户信息。OpenSSL在实现TLS和DTLS的心跳处理逻辑时，存在编码缺陷。OpenSSL的心跳处理逻辑没有检测心跳包中的长度字段是否和后续的数据字段相符合，攻击者可以利用这点，构造异常的数据包，来获取心跳数据所在的内存区域的后续数据。这些数据中可能包含了证书私钥、用户名、用户密码、用户邮箱等敏感信息。该漏洞允许攻击者，从内存中读取多达64KB的数据。 具体来说，即SSL标准包含一个心跳选项，允许SSL连接一端的电脑发出一条简短的信息，确认另一端的电脑仍然在线，并获取反馈。但研究人员发现，可以通过其他手段发出恶意心跳信息，欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗，并发送服务器内存中的信息。 心血漏洞的影响 这是来自Heartbleed的官方说明： OpenSSL在Web容器如Apache/Nginx中使用，这两的全球份额超过66%。还在邮件服务如SMTP/POP/IMAP协议中使用，聊天服务如XMPP协议，VPN服务等多种网络服务中广泛使用。幸运的是，这些服务很多比较古老，没更新到新的OpenSSL，所以不受影响，不过还是有很多用的是新的OpenSSL，都受影响！ 1. HTTPS服务（443端口）： 来自@ZoomEye 的统计（4.8号）： 全国443端口：1601250，有33303个受本次OpenSSL漏洞影响！注意这只是443端口。全球443端口，至少受影响有71万量级（实际应该大于这个，待修正）。 ZoomEye OpenSSL漏洞国内的趋势监控（随时更新，仅是443端口）：第一天：33303?台服务器（说明：国内是4.8号爆发的，当天的影响服务器情况！）第二天：22611?台服务器（说明：辛苦一线白帽子与运维人员等的辛苦熬夜，减了1/3！而且都是知名业务，如百度、360、微信、陌陌、淘宝等，这点非常赞！）第三天：17850?台服务器（说明：又减少了近500