每經(jīng)編輯 每經(jīng)記者 張業(yè)軍 發(fā)自廣州
每經(jīng)記者 張業(yè)軍 發(fā)自廣州
4月9日下午�����,廣東井田云科技有限公司首席架構(gòu)設(shè)計(jì)師何漸興打開(kāi)井田商業(yè)管理系統(tǒng)后臺(tái),將OpenSSL文件里的一個(gè)源碼頁(yè)面加上了一段大學(xué)計(jì)算機(jī)課上常用的一個(gè)if語(yǔ)句��,就把日前在網(wǎng)上瘋傳的OpenSSL漏洞����,輕松給補(bǔ)上了����。
何漸興介紹說(shuō),打個(gè)比方���,OpenSSL漏洞就像是一個(gè)房子的門(mén)開(kāi)了一條非常細(xì)的縫���,如果門(mén)外的陌生人經(jīng)過(guò)并朝門(mén)縫里盯一眼,他理論上有可能看見(jiàn)室內(nèi)發(fā)生的事情�����。用這條if句的安全機(jī)制就是��,如果發(fā)現(xiàn)門(mén)外有陌生人經(jīng)過(guò)�����,主人便適時(shí)堵住門(mén)縫。
幾小時(shí)可完成修補(bǔ)
自4月7日爆出有關(guān)漏洞消息后��,有安全公司在其官方網(wǎng)站上發(fā)布新聞稱(chēng)����,該公司安全檢測(cè)平臺(tái)對(duì)國(guó)內(nèi)120萬(wàn)家經(jīng)過(guò)授權(quán)的網(wǎng)站掃描,其中有11440個(gè)網(wǎng)站主機(jī)受OpenSSL“心臟出血”漏洞影響����。4月7日、4月8日期間�,共計(jì)約2億網(wǎng)友訪問(wèn)了存在OpenSSL漏洞的網(wǎng)站。
4月9日上午����,何漸興在網(wǎng)上看到這一消息,便花了半天時(shí)間研究了該漏洞并查看了相應(yīng)的問(wèn)題代碼�����,了解了漏洞原理���。他發(fā)現(xiàn)�����,修補(bǔ)該漏洞其實(shí)不難�����,網(wǎng)站用戶(hù)無(wú)需做任何工作����,只等網(wǎng)站的運(yùn)維人員改變OpenSSL到安全的版本即可�����,這通常在幾個(gè)小時(shí)內(nèi)可以完成�。
他表示:“所謂的OpenSSL現(xiàn)驚天大漏洞,各大媒體爭(zhēng)相報(bào)道����,其實(shí)大可不必?fù)?dān)心?���!?/p>
作為一名有8年網(wǎng)站編程經(jīng)驗(yàn)的開(kāi)發(fā)者,何漸興按照烏云網(wǎng)(IT行業(yè)的知識(shí)共享網(wǎng)站)提供的解決方案����,彌補(bǔ)了OpenSSL系統(tǒng)級(jí)漏洞——這兩行代碼由56個(gè)字符組成����,這個(gè)if句實(shí)際上做了一個(gè)判斷��,如果用戶(hù)提供了一個(gè)空數(shù)據(jù)給服務(wù)器��,就會(huì)造成讀取別的內(nèi)存地址�����?����!吧晕⑹炀毜腎T人員都能輕松給漏洞打補(bǔ)丁�����?!?/p>
漏洞危害被放大?
目前���,國(guó)內(nèi)大多數(shù)在線(xiàn)購(gòu)物平臺(tái)及金融網(wǎng)站���,在PC端用IE打開(kāi)的時(shí)候�,都使用了 “https://”傳送協(xié)議�����,在用戶(hù)與服務(wù)器進(jìn)行交互的時(shí)候�����,服務(wù)器與客戶(hù)端每隔一定時(shí)間 (比如數(shù)秒)進(jìn)行一次數(shù)據(jù)通信��,這種間歇性通信時(shí)發(fā)送的數(shù)據(jù)包被稱(chēng)之為“心跳包”��。這種通信過(guò)程出現(xiàn)的漏洞�,因此得名“心跳出血”漏洞��。
為了保障用戶(hù)的通信安全����,常用的一種加密技術(shù)便是SSL。SSL(SecureSocketsLayer安全套接層)的重要作用在于:認(rèn)證用戶(hù)和服務(wù)器��,確保數(shù)據(jù)發(fā)送到正確的客戶(hù)機(jī)和服務(wù)器�;加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取;維護(hù)數(shù)據(jù)的完整性�����,確保數(shù)據(jù)在傳輸過(guò)程中不被改變��。
在加密技術(shù)中���,開(kāi)源的OpenSSL是一種最常用的加密模式��,相當(dāng)于互聯(lián)網(wǎng)上銷(xiāo)量最大的門(mén)鎖�。目前正在各大網(wǎng)銀��、在線(xiàn)支付�����、電商網(wǎng)站�����、門(mén)戶(hù)網(wǎng)站�、電子郵件等重要網(wǎng)站上廣泛使用。故消息一出��,包括阿里、京東等紛紛發(fā)表聲明�����,稱(chēng)已解決這一問(wèn)題�����。
艾媒咨詢(xún)CEO張毅告訴 《每日經(jīng)濟(jì)新聞》記者�,OpenSSL漏洞原理在于,攻擊者的用戶(hù)構(gòu)造了特殊的數(shù)據(jù)包���,通過(guò)安全鏈接(SSL)提交到有該漏洞的服務(wù)器時(shí)能獲取到某一塊64KB的內(nèi)存數(shù)據(jù)���,但該內(nèi)存數(shù)據(jù)很可能是不完整的,也可能是無(wú)價(jià)值的����,如果碰巧該數(shù)據(jù)有完整信息且是用戶(hù)的敏感數(shù)據(jù)�,那將會(huì)對(duì)該網(wǎng)站用戶(hù)造成危害,諸如密碼泄露之類(lèi)���。
百萬(wàn)分之一的幾率
張毅表示�����,攻擊者其實(shí)只可以獲取固定的某一塊內(nèi)存數(shù)據(jù)����,所以獲取到什么樣的數(shù)據(jù)完全是憑運(yùn)氣,有可能那一部份內(nèi)存始終是存放不變的且無(wú)用的信息�����,攻擊將會(huì)無(wú)效���;如果該內(nèi)存數(shù)據(jù)是變動(dòng)的���,那攻擊者可以反復(fù)獲取,直到獲取到完整的敏感數(shù)據(jù)為止�,要達(dá)到這樣的結(jié)果是不容易的。綜合看��,被利用的幾率很低�����,約在百萬(wàn)分之一以下�����。
“需要反復(fù)去獲取那個(gè)內(nèi)存區(qū)域的數(shù)據(jù),如果碰巧得到了敏感數(shù)據(jù)�,就有用了。金融系統(tǒng)是不允許有這樣的系統(tǒng)的��,別的系統(tǒng)沒(méi)有進(jìn)攻價(jià)值�。”張毅說(shuō)��。
記者了解到�����,OpenSSL是SSL協(xié)議的一種實(shí)現(xiàn)�,linux系統(tǒng)上自帶,默認(rèn)的SSL實(shí)現(xiàn)�,算是系統(tǒng)級(jí)的漏洞,但是危害遠(yuǎn)沒(méi)有木馬的危害大����,影響不會(huì)如一些安全公司所聲稱(chēng)得那樣大�。
何漸興表示:“這次關(guān)于該漏洞的報(bào)道,因?yàn)楦鞣N原因���,渲染得很?chē)樔?��,其?shí)普通網(wǎng)民不用擔(dān)心��。不過(guò)�����,網(wǎng)絡(luò)安全向來(lái)無(wú)小事��,希望各網(wǎng)站運(yùn)營(yíng)商要高度重視本次安全事故���,要第一時(shí)間堵上漏洞,不給犯罪分子可乘之機(jī)�。”
