Web 安全 之 OpenSSL

　　什麼是OpenSSL協議？

　　SSL(Secure SocketLayer，安全套接層)協議是使用最爲廣泛網站加密技術，用以保障在Internet上數據傳輸之安全，利用數據加密(Encryption)技術，可確保數據在網絡上之傳輸過程當中不會被截取及竊聽。簡單的說，就是加密傳輸的數據，避免被截取監聽等。

　　而OpenSSL則是開源的SSL套件，做爲一個多用途的、跨平臺的通訊加密工具，爲全球成千上萬的web服務器所使用。Web服務器正是經過它來將密鑰發送給訪客而後在雙方的鏈接之間對信息進行加密。URL中使用https打頭的鏈接都採用了SSL加密技術。在線購物、網銀等活動均採用SSL技術來防止竊密及避免中間人攻擊。

　　但如今，OpenSSL本身出現了漏洞，並且是很是高危脅的漏洞，直接致使了本該是讓爲了更安全的設置變成了致命的危險。利用這個漏洞，黑客能夠輕鬆得到用戶的cookie，甚至明文的賬號和密碼。

　　Heartbleed 漏洞，2014年互聯網上最危險的漏洞

　　OpenSSL官方網站4月7日發佈公告，安全公司Codenomicon的研究人員和Google安全小組的Neel Mehta相互獨立地發現OpenSSL「heartbleed」存在安全漏洞(漏洞編號：CVE-2014-0160)。該漏洞發生在OpenSSL對TLS的心跳擴展(RFC6520)的實現代碼中，因爲遺漏了一處邊界檢查，使攻擊者無需任何特權信息或身份驗證，就可以從內存中讀取請求存儲位置以外的多達64 KB的數據，可能包含證書私鑰、用戶名與密碼、聊天消息、電子郵件以及重要的商業文檔和通訊等數據。

　　簡單地說，由於Heartbleed Bug存在，能讓互聯網的任何人讀取系統保護內存，容許攻擊者竊聽通信，並經過模擬服務提供者和用戶來直接從服務提供者盜取數據，讓上千萬服務器中的加密用戶數據暴露。

　　Heartbleed漏洞之因此得名，是由於用於安全傳輸層協議(TLS)及數據包傳輸層安全協議(DTLS)的Heartbeat擴展存在漏洞。Heartbeat擴展爲TLS/DTLS提供了一種新的簡便的鏈接保持方式，但因爲OpenSSL 1.0.2-beta與OpenSSL 1.0.1在處理TLS heartbeat擴展時的邊界錯誤，攻擊者能夠利用漏洞披露鏈接的客戶端或服務器的存儲器內容，致使攻擊者不只能夠讀取其中機密的加密數據，還能盜走用於加密的密鑰。

　　Heartbleed漏洞是2011年12月引入OpenSSL庫中的，2012年3月14日1.0.1正式版發佈後，含有漏洞版本的庫被普遍使用，受影響版本爲OpenSSL 1.0.1和1.0.2-beta，更早版本的OpenSSL(1.0.0和0.9.8等)不受影響。

 

　　波及數十萬服務器

　　據谷歌和網絡安全公司Codenomicon的研究人員透露，OpenSSL加密代碼中一種名爲Heartbleed的漏洞存在已有兩年之久。三分之二的活躍網站均在使用這種存在缺陷的加密協議。所以，許多人的數據信息開始被暴露，每一個人都被捲入到此次災難的修正中去。放眼放去，咱們常常訪問的支付寶、淘寶、微信公衆號、YY語音、陌陌、雅虎郵件、網銀、門戶等各類網站，基本上都出了問題。

　　而在國外，受到波及的網站也數不勝數，就連大名鼎鼎的NASA(美國航空航天局)也已宣佈，用戶數據庫遭泄露。

　　外媒估計，估計受影響的服務器數量可能多達幾十萬。其中已被確認受影響的網站包括雅虎、Imgur、OKCupid、Eventbrite以及FBI網站等，不過Google未受影響。

　　網絡安全公司Qualys的一名研究員伊萬•瑞斯提克(Ivan Ristic)建立了一種測試網站是否存在Heartbleed漏洞的工具。工具發佈當天，他的網頁訪問量增長了7倍。他估計，使用SSL的服務器中，有30%存在漏洞。

　　經瑞斯提克的工具測試顯示，許多大型網站，如谷歌、亞馬遜、eBay等網站較安全，未受到這種漏洞的影響。雅虎發言人則表示，「咱們的團隊已經成功地完成雅虎各個網站的修復。」

　　因爲大多數的隱私工具都是基於OpenSSL，因此此次Bug影響的範圍會更加深遠。漏洞的修復可能須要幾天時間，服務器重置證書的過程也是緩慢和昂貴的，在這期間會給攻擊者留出不少自由發揮的空間。

　　解決之道

　　將 OpenSSL 升級到最新版本：

　　官網地址：https://www.openssl.org/

　　下載地址：https://www.openssl.org/source/

　　PFS是將來？

　　因禍得福，焉知非福。這次風波將會讓整個互聯網從新思考網絡安全。Heartbleed風波事後，互聯網公司必將改變它們的安全措施。據悉，不少大型互聯網公司都已經轉向了PFS(徹底正向保密)技術——它能讓密鑰的保存時間變得很短。有評論認爲，這多是將來的一個發展方向。