4 月 9 日下午,广东井田云科技有限公司首席架构设计师何渐兴打开井田商业管理系统后台,将 OpenSSL 文件里的一个源码页面加上了一段大学计算机课上常用的一个 if 语句,就把日前在网上疯传的 OpenSSL 漏洞,轻松给补上了。
何渐兴介绍说,打个比方,OpenSSL 漏洞就像是一个房子的门开了一条非常细的缝,如果门外的陌生人经过并朝门缝里盯一眼,他理论上有可能看见室内发生的事情。用这条 if 句的安全机制就是,如果发现门外有陌生人经过,主人便适时堵住门缝。
几小时可完成修补
自 4 月 7 日爆出有关漏洞消息后,有安全公司在其官方网站上发布新闻称,该公司安全检测平台对国内 120 万家经过授权的网站扫描,其中有 11440 个网站主机受 OpenSSL“心脏出血”漏洞影响。4 月 7 日、4 月 8 日期间,共计约 2 亿网友访问了存在 OpenSSL 漏洞的网站。
4 月 9 日上午,何渐兴在网上看到这一消息,便花了半天时间研究了该漏洞并查看了相应的问题代码,了解了漏洞原理。他发现,修补该漏洞其实不难,网站用户无需做任何工作,只等网站的运维人员改变 OpenSSL 到安全的版本即可,这通常在几个小时内可以完成。
他表示:“所谓的 OpenSSL 现惊天大漏洞,各大媒体争相报道,其实大可不必担心。”
作为一名有 8 年网站编程经验的开发者,何渐兴按照乌云网(IT 行业的知识共享网站)提供的解决方案,弥补了 OpenSSL 系统级漏洞——这两行代码由 56 个字符组成,这个 if 句实际上做了一个判断,如果用户提供了一个空数据给服务器,就会造成读取别的内存地址。“稍微熟练的 IT 人员都能轻松给漏洞打补丁。”
漏洞危害被放大?
目前,国内大多数在线购物平台及金融网站,在 PC 端用 IE 打开的时候,都使用了 “https://”传送协议,在用户与服务器进行交互的时候,服务器与客户端每隔一定时间 (比如数秒)进行一次数据通信,这种间歇性通信时发送的数据包被称之为“心跳包”。这种通信过程出现的漏洞,因此得名“心跳出血”漏洞。
为了保障用户的通信安全,常用的一种加密技术便是 SSL。SSL (SecureSocketsLayer 安全套接层)的重要作用在于:认证用户和服务器,确保数据发送到正确的客户机和服务器;加密数据以防止数据中途被窃取;维护数据的完整性,确保数据在传输过程中不被改变。
在加密技术中,开源的 OpenSSL 是一种最常用的加密模式,相当于互联网上销量最大的门锁。目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。故消息一出,包括阿里、京东等纷纷发表声明,称已解决这一问题。
艾媒咨询 CEO 张毅告诉 《每日经济新闻》记者,OpenSSL 漏洞原理在于,攻击者的用户构造了特殊的数据包,通过安全链接(SSL)提交到有该漏洞的服务器时能获取到某一块 64KB 的内存数据,但该内存数据很可能是不完整的,也可能是无价值的,如果碰巧该数据有完整信息且是用户的敏感数据,那将会对该网站用户造成危害,诸如密码泄露之类。
百万分之一的几率
张毅表示,攻击者其实只可以获取固定的某一块内存数据,所以获取到什么样的数据完全是凭运气,有可能那一部份内存始终是存放不变的且无用的信息,攻击将会无效;如果该内存数据是变动的,那攻击者可以反复获取,直到获取到完整的敏感数据为止,要达到这样的结果是不容易的。综合看,被利用的几率很低,约在百万分之一以下。
“需要反复去获取那个内存区域的数据,如果碰巧得到了敏感数据,就有用了。金融系统是不允许有这样的系统的,别的系统没有进攻价值。”张毅说。
记者了解到,OpenSSL 是 SSL 协议的一种实现,linux 系统上自带,默认的 SSL 实现,算是系统级的漏洞,但是危害远没有木马的危害大,影响不会如一些安全公司所声称得那样大。
何渐兴表示:“这次关于该漏洞的报道,因为各种原因,渲染得很吓人,其实普通网民不用担心。不过,网络安全向来无小事,希望各网站运营商要高度重视本次安全事故,要第一时间堵上漏洞,不给犯罪分子可乘之机。”
相关文章