寫在互聯網 “流血事件”(OpenSSL Heartbleed)48 小時後
關於HeartBleed漏洞的原理,另一篇文章已經講得很清楚了。本文以講故事為主。
關於漏洞
筆者是48小時前在矽谷著名的科技八卦新聞集散地”Y Combinator黑客新聞”上看到這個漏洞的。研究了細節後,發現它確實是前無古人,如同筆者在另一篇文章裡提到的:以前房子塌了都是因為建築本身是豆腐渣工程,而這次我們知道原來腳下的地球也可能是豆腐渣工程,沒事會給你來個大地震。
之所以安全界人士不吝自己的誇張之詞來形容這個漏洞,是因為:
唯一的幸運是,這個漏洞難以讓攻擊者精確瞄準指定用戶,除非能提前獲知目標訪問的確切時間。攻擊的效果就如同對著人群亂開槍。
從微博上得知綠盟和知道創宇等安全公司的大牛們昨夜都是徹夜未眠,幕後還有更多的無名黑客在抓緊一年沒幾次的機會多刷點庫。如同每次大的漏洞爆發事件一樣,安全人員累覺不愛,小黑客們喜大普奔。
一個漏洞的公開之日就是死亡倒計時的開始。如以前所有的漏洞事件一樣,在它被慢慢補上並淡出人們視線之前,黑客和安全人員都在抓緊最後的時間進行賽跑。
北京時間前天晚上,一條大魚出現,Yahoo郵箱服務器被證實有漏洞,凌晨時發現已被修補,其間不知有多少郵箱躺槍了。而還存在一種更可怕的可能:從洩露出的內存數據,有可能還原出SSL證書的私鑰(雖然目前還沒有人證實能做到這一點),這意味著在他們在付出較大代價得到新簽發的證書之前,Yahoo網站的SSL加密將失去意義。通俗的說,你將永遠不知道提交給Yahoo的密碼有沒有在傳輸中被人截獲,甚至無法得知正在訪問的那個網站是不是Yahoo真身。
筆者也認為,這種時候就算關閉SSL服務也好過放在那讓人攻擊,Yahoo這樹太大了,多拖一分鐘都很危險。
也許,這個操心是多餘的。一般漏洞在公開之前都會有一段地下流傳期,有的漏洞在公開前甚至被地下用過一年。這個漏洞又被用過多久?有多少賬號,甚至證書私鑰洩露了?細思極恐。
關於攻擊代碼
HeartBleed簡單的利用手法決定了它可以寫腳本來自動化,北京時間昨天凌晨,Mustafa在Github上發布了批量掃描工具,作為目標的1000個大網站中,Yahoo,Sogou等中招。
隨即是更大規模的掃描,截止到昨天凌晨,Alexa前10000的網站中,1300餘個中招。國內的360等安全公司也開始推出自己的檢測工具。
群裡有人開始求工具,隨即發現攻擊代碼(也叫exploit)已經公佈在了著名的exploit發佈網站exploit-db上:
又過了24小時,針對FTP, SMTP和POP3協議的攻擊代碼也出現了(OpenSSL是一個底層架構,並非只用於HTTP)。攻擊代碼的放出,意味著“腳本小子”們開始加入這場party,攻擊行為的規模會迅速擴大,任何網站都不應該有僥倖心理。
這個漏洞從知曉原理到寫出攻擊代碼,是有一定門檻的。只有少數人懂得利用原理的漏洞也許難以造成大的破壞,但傻瓜化利用工具的大量流傳卻可以做到。如同《命令與征服:將軍》遊戲裡那句著名的吶喊:”AK-47s, for EVERYONE!”
漏洞背後的節操
這是一場互聯網上罕見規模的“流血事件”。主要受害者,不是以往第三方漏洞事件中易受衝擊的中小網站,而是樹大招風的大網站。
HeartBleed是由Google的安全人員首先發現並公佈的,這應該是一次”負責任披露”:即先通知廠商,等待廠商發布補丁之後再公開。而我們不禁要問:為什麼仍然有這麼多大網站成了受害者?
這里首先科普一個概念:1 Day攻擊。
一個漏洞的發補丁之日,就是其公開之時。補丁本身就是分析漏洞的最佳依據,黑客會在第一時間通過補丁前後代碼的比對分析出漏洞原理,並開發出攻擊代碼。而這時,可能絕大多數用戶還沒來得及打上補丁,淪為待宰羔羊。這就是所謂的”1 Day攻擊”,前文提到的那些事件,均屬此類。
而這個漏洞,僅僅通知作為開發廠商的OpenSSL是遠遠不夠的,後者發布補丁後,1 Day攻擊就會開始,漏洞的發現者沒有理由不知道這點。他知道漏洞的危害,甚至可以很容易掃描到有哪些網站會受衝擊。作為安全責任最大的一方,他做了一個精美的介紹網站,甚至設計了漏洞的logo,而我們不知道,他是否也用過同樣的精力通知那些大網站採取臨時措施避免攻擊。
再說說國內。
“白帽子”這個稱呼是給最有節操的黑客的:以研究為目的,發現漏洞會通報廠商修補,以避免被攻擊者利用造成損失。
烏雲(wooyun.org)作為中國最大的白帽子漏洞報告平台,給曾經被黑色產業充斥的國內安全界帶來了一抹亮色。在這次事件中,卻變成了黑客們秀戰果的場所。
網站名,漏洞名俱在,漏洞狀態中,很多還是“等待廠商處理”,就這樣被公開在烏雲上頗有“此地無銀三百兩”的感覺。本人試著掃描了一個,漏洞還在。這就意味著,無數瀏覽烏云網的人都可能步其後塵,所謂的漏洞報告反而讓網站成了聚光燈下的獵物。
如下面這張圖,不用說你就知道是哪個網站被搞啦。 (時至發稿,已經修補)
節操呢?
最後,陰謀論一下。
程序員有一句名言:It's not a bug. It's a feature. -這不是bug,是功能。
而這句話的黑客版是:It's not a vulnerability. It's a backdoor. -這不是漏洞,是後門。
作者天放來自Trustlook,一家來自矽谷的移動安全創業公司
資料來源:雷鋒網
關於漏洞
筆者是48小時前在矽谷著名的科技八卦新聞集散地”Y Combinator黑客新聞”上看到這個漏洞的。研究了細節後,發現它確實是前無古人,如同筆者在另一篇文章裡提到的:以前房子塌了都是因為建築本身是豆腐渣工程,而這次我們知道原來腳下的地球也可能是豆腐渣工程,沒事會給你來個大地震。
之所以安全界人士不吝自己的誇張之詞來形容這個漏洞,是因為:
引用1 影響範圍巨大– 僅僅是受影響的Nginx和Apache就佔據了web server 70%以上的市場。
2 易於利用– 隨機獲取用戶信息,是攻擊的第一步,也幾乎是最後一步。只要有攻擊工具,無需任何專業知識就可以完成。
3 難於檢測– 攻擊所用的心跳包並非是完整的HTTP會話,不會在web server留下日誌。
唯一的幸運是,這個漏洞難以讓攻擊者精確瞄準指定用戶,除非能提前獲知目標訪問的確切時間。攻擊的效果就如同對著人群亂開槍。
從微博上得知綠盟和知道創宇等安全公司的大牛們昨夜都是徹夜未眠,幕後還有更多的無名黑客在抓緊一年沒幾次的機會多刷點庫。如同每次大的漏洞爆發事件一樣,安全人員累覺不愛,小黑客們喜大普奔。
一個漏洞的公開之日就是死亡倒計時的開始。如以前所有的漏洞事件一樣,在它被慢慢補上並淡出人們視線之前,黑客和安全人員都在抓緊最後的時間進行賽跑。
北京時間前天晚上,一條大魚出現,Yahoo郵箱服務器被證實有漏洞,凌晨時發現已被修補,其間不知有多少郵箱躺槍了。而還存在一種更可怕的可能:從洩露出的內存數據,有可能還原出SSL證書的私鑰(雖然目前還沒有人證實能做到這一點),這意味著在他們在付出較大代價得到新簽發的證書之前,Yahoo網站的SSL加密將失去意義。通俗的說,你將永遠不知道提交給Yahoo的密碼有沒有在傳輸中被人截獲,甚至無法得知正在訪問的那個網站是不是Yahoo真身。
筆者也認為,這種時候就算關閉SSL服務也好過放在那讓人攻擊,Yahoo這樹太大了,多拖一分鐘都很危險。
也許,這個操心是多餘的。一般漏洞在公開之前都會有一段地下流傳期,有的漏洞在公開前甚至被地下用過一年。這個漏洞又被用過多久?有多少賬號,甚至證書私鑰洩露了?細思極恐。
關於攻擊代碼
HeartBleed簡單的利用手法決定了它可以寫腳本來自動化,北京時間昨天凌晨,Mustafa在Github上發布了批量掃描工具,作為目標的1000個大網站中,Yahoo,Sogou等中招。
隨即是更大規模的掃描,截止到昨天凌晨,Alexa前10000的網站中,1300餘個中招。國內的360等安全公司也開始推出自己的檢測工具。
群裡有人開始求工具,隨即發現攻擊代碼(也叫exploit)已經公佈在了著名的exploit發佈網站exploit-db上:
又過了24小時,針對FTP, SMTP和POP3協議的攻擊代碼也出現了(OpenSSL是一個底層架構,並非只用於HTTP)。攻擊代碼的放出,意味著“腳本小子”們開始加入這場party,攻擊行為的規模會迅速擴大,任何網站都不應該有僥倖心理。
這個漏洞從知曉原理到寫出攻擊代碼,是有一定門檻的。只有少數人懂得利用原理的漏洞也許難以造成大的破壞,但傻瓜化利用工具的大量流傳卻可以做到。如同《命令與征服:將軍》遊戲裡那句著名的吶喊:”AK-47s, for EVERYONE!”
漏洞背後的節操
這是一場互聯網上罕見規模的“流血事件”。主要受害者,不是以往第三方漏洞事件中易受衝擊的中小網站,而是樹大招風的大網站。
HeartBleed是由Google的安全人員首先發現並公佈的,這應該是一次”負責任披露”:即先通知廠商,等待廠商發布補丁之後再公開。而我們不禁要問:為什麼仍然有這麼多大網站成了受害者?
這里首先科普一個概念:1 Day攻擊。
一個漏洞的發補丁之日,就是其公開之時。補丁本身就是分析漏洞的最佳依據,黑客會在第一時間通過補丁前後代碼的比對分析出漏洞原理,並開發出攻擊代碼。而這時,可能絕大多數用戶還沒來得及打上補丁,淪為待宰羔羊。這就是所謂的”1 Day攻擊”,前文提到的那些事件,均屬此類。
而這個漏洞,僅僅通知作為開發廠商的OpenSSL是遠遠不夠的,後者發布補丁後,1 Day攻擊就會開始,漏洞的發現者沒有理由不知道這點。他知道漏洞的危害,甚至可以很容易掃描到有哪些網站會受衝擊。作為安全責任最大的一方,他做了一個精美的介紹網站,甚至設計了漏洞的logo,而我們不知道,他是否也用過同樣的精力通知那些大網站採取臨時措施避免攻擊。
再說說國內。
“白帽子”這個稱呼是給最有節操的黑客的:以研究為目的,發現漏洞會通報廠商修補,以避免被攻擊者利用造成損失。
烏雲(wooyun.org)作為中國最大的白帽子漏洞報告平台,給曾經被黑色產業充斥的國內安全界帶來了一抹亮色。在這次事件中,卻變成了黑客們秀戰果的場所。
網站名,漏洞名俱在,漏洞狀態中,很多還是“等待廠商處理”,就這樣被公開在烏雲上頗有“此地無銀三百兩”的感覺。本人試著掃描了一個,漏洞還在。這就意味著,無數瀏覽烏云網的人都可能步其後塵,所謂的漏洞報告反而讓網站成了聚光燈下的獵物。
如下面這張圖,不用說你就知道是哪個網站被搞啦。 (時至發稿,已經修補)
節操呢?
最後,陰謀論一下。
程序員有一句名言:It's not a bug. It's a feature. -這不是bug,是功能。
而這句話的黑客版是:It's not a vulnerability. It's a backdoor. -這不是漏洞,是後門。
作者天放來自Trustlook,一家來自矽谷的移動安全創業公司
資料來源:雷鋒網