解析OpenSSL重大安全漏洞

　　2014年4月8日，XP宣布正式停止服务的日子，也是OpenSSL爆出大漏洞的日子。这个漏洞影响30~50%比例使用https的网站，其中包括大家经常访问的：支付宝、微信、淘宝、网银、社交、门户等知名网站。只要访问https的网站便有可能存在被嗅探数据的风险。

　　OpenSSL是什么？

　　OpenSSL是目前移动互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。它为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，并提供了丰富的应用程序供测试或其它目的使用。

　　OpenSSL漏洞

　　OpenSSL是一种开放源码的SSL实现，用来实现网络通信的高强度加密，现在被广泛地用于各种网络应用程序中。OpenSSL Heartbleed模块存在一个BUG，当攻击者构造一个特殊的数据包，满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出，该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中长大64K的数据。

　　存在该漏洞的版本

　　OpenSSL 1.0.1 through 1.0.1f(inclusive) are vulnerable

　　OpenSSL 1.0.1g is NOT vulnerable

　　OpenSSL 1.0.0 branch is NOT vulnerable

　　OpenSSL 0.9.8 branch is NOT vulnerable

　　简单的说，黑客可以对使用https(存在此漏洞)的网站发起攻击，每次读取服务器内存中64K数据，不断的迭代获取，内存中可能会含有程序源码、用户http原始请求、用户cookie甚至明文帐号密码等。

　　这个漏洞影响究竟有多大？

　　影响很大，因为有很多隐私信息都存储在服务器内存中。普林斯顿大学计算机科学家艾德•菲尔腾(Ed Felten)表示，使用这项技术的攻击者可以通过模式匹配对信息进行分类整理，从而找出密钥、密码，以及信用卡号等个人信息。

　　丢失了信用卡号和密码的危害有多大，相信已经不言而喻。但密钥被盗的后果可能更加严重。这是信息服务器用于整理加密信息的一组代码。如果攻击者获取了服务器的私钥，便可读取其收到的任何信息，甚至能够利用密钥假冒服务器，欺骗用户泄露密码和其他敏感信息。

　　一位安全行业人士在知乎上透露，他在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获取了40多个用户名，7个密码，用这些密码，他成功地登录了该网站。之后又发现雅虎门户主页、微信公众号、微信网页版，YY语言、淘宝、网银、陌陌、社交、门户网站存在此漏洞。

　　图为获取到了用户登录的帐号以及密码，这里的密码使用的明文传输，以至于通过这样的漏洞攻击黑客可以成功的登录了上百个账户。

　　用户修改密码、发送消息、登录等请求以及很多操作全部在数据包中暴露出来，这里不列举更多受影响的网站了。其实这个漏洞据说早在2012年就被挖掘出来，直到昨天CVE纳入编号CVE-2014-0160，8号才正式爆发。使用HTTPS的网站大多是因为数据需加密防止嗅探等攻击的发生，漏洞爆发后彻底将这层大门打破，于是很多网站处于被监听的状态中。

　　因此漏洞非用户安全所致，只要网站使用了存在漏洞的OpenSSL版本，用户登录该网站时就可能被黑客实时监控到登录账号和密码，此漏洞应由服务商尽快提供OpenSSL的升级。

　　可喜的是诸如腾讯、网易、淘宝这些大的厂商对安全问题的应急相应速度很快，很多存在OpenSSL问题的网站已经修复，剩下一些相信也会通过白帽子们的努力很快修复。

　　用户应当如何应对该问题？

　　对重要服务，尽可能开通手机验证或动态密码，比如支付宝、邮箱等，登录重要服务，不仅仅需要验证用户名密码，最好绑定手机，加手机验证码登录。这样就算黑客拿到帐户密码，登录还有另一道门槛。

　　另外，随着事件进展，可能受累及的网络服务在增加或更明确，建议用户修改重要服务的登录密码。对于密码设置的建议是，一个密码的使用时间不宜过长，超过3个月就应该换掉，并且密码设置要足够长，尽量不要多次使用同一个密码。

转自：http://news.sina.com.cn/c/2014-04-28/131730025436.shtml

感谢分享。