每經(jīng)編輯 每經(jīng)記者 張業(yè)軍 發(fā)自廣州
每經(jīng)記者 張業(yè)軍 發(fā)自廣州
4月9日下午�,廣東井田云科技有限公司首席架構(gòu)設(shè)計師何漸興打開井田商業(yè)管理系統(tǒng)后臺���,將OpenSSL文件里的一個源碼頁面加上了一段大學(xué)計算機課上常用的一個if語句�,就把日前在網(wǎng)上瘋傳的OpenSSL漏洞�,輕松給補上了�����。
何漸興介紹說����,打個比方�����,OpenSSL漏洞就像是一個房子的門開了一條非常細的縫�,如果門外的陌生人經(jīng)過并朝門縫里盯一眼,他理論上有可能看見室內(nèi)發(fā)生的事情����。用這條if句的安全機制就是,如果發(fā)現(xiàn)門外有陌生人經(jīng)過����,主人便適時堵住門縫。
幾小時可完成修補
自4月7日爆出有關(guān)漏洞消息后����,有安全公司在其官方網(wǎng)站上發(fā)布新聞稱�,該公司安全檢測平臺對國內(nèi)120萬家經(jīng)過授權(quán)的網(wǎng)站掃描���,其中有11440個網(wǎng)站主機受OpenSSL“心臟出血”漏洞影響。4月7日����、4月8日期間,共計約2億網(wǎng)友訪問了存在OpenSSL漏洞的網(wǎng)站���。
4月9日上午��,何漸興在網(wǎng)上看到這一消息��,便花了半天時間研究了該漏洞并查看了相應(yīng)的問題代碼�����,了解了漏洞原理��。他發(fā)現(xiàn)�,修補該漏洞其實不難����,網(wǎng)站用戶無需做任何工作,只等網(wǎng)站的運維人員改變OpenSSL到安全的版本即可�,這通常在幾個小時內(nèi)可以完成����。
他表示:“所謂的OpenSSL現(xiàn)驚天大漏洞�,各大媒體爭相報道,其實大可不必擔(dān)心��?!?/p>
作為一名有8年網(wǎng)站編程經(jīng)驗的開發(fā)者,何漸興按照烏云網(wǎng)(IT行業(yè)的知識共享網(wǎng)站)提供的解決方案���,彌補了OpenSSL系統(tǒng)級漏洞——這兩行代碼由56個字符組成����,這個if句實際上做了一個判斷�,如果用戶提供了一個空數(shù)據(jù)給服務(wù)器,就會造成讀取別的內(nèi)存地址�。“稍微熟練的IT人員都能輕松給漏洞打補丁�。”
漏洞危害被放大��?
目前����,國內(nèi)大多數(shù)在線購物平臺及金融網(wǎng)站,在PC端用IE打開的時候�,都使用了 “https://”傳送協(xié)議,在用戶與服務(wù)器進行交互的時候�����,服務(wù)器與客戶端每隔一定時間 (比如數(shù)秒)進行一次數(shù)據(jù)通信�����,這種間歇性通信時發(fā)送的數(shù)據(jù)包被稱之為“心跳包”���。這種通信過程出現(xiàn)的漏洞�,因此得名“心跳出血”漏洞��。
為了保障用戶的通信安全�����,常用的一種加密技術(shù)便是SSL�����。SSL(SecureSocketsLayer安全套接層)的重要作用在于:認證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機和服務(wù)器����;加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取����;維護數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變����。
在加密技術(shù)中,開源的OpenSSL是一種最常用的加密模式�,相當于互聯(lián)網(wǎng)上銷量最大的門鎖。目前正在各大網(wǎng)銀���、在線支付����、電商網(wǎng)站����、門戶網(wǎng)站、電子郵件等重要網(wǎng)站上廣泛使用�。故消息一出��,包括阿里�����、京東等紛紛發(fā)表聲明����,稱已解決這一問題���。
艾媒咨詢CEO張毅告訴 《每日經(jīng)濟新聞》記者,OpenSSL漏洞原理在于�����,攻擊者的用戶構(gòu)造了特殊的數(shù)據(jù)包����,通過安全鏈接(SSL)提交到有該漏洞的服務(wù)器時能獲取到某一塊64KB的內(nèi)存數(shù)據(jù),但該內(nèi)存數(shù)據(jù)很可能是不完整的�����,也可能是無價值的�����,如果碰巧該數(shù)據(jù)有完整信息且是用戶的敏感數(shù)據(jù),那將會對該網(wǎng)站用戶造成危害��,諸如密碼泄露之類���。
百萬分之一的幾率
張毅表示����,攻擊者其實只可以獲取固定的某一塊內(nèi)存數(shù)據(jù)��,所以獲取到什么樣的數(shù)據(jù)完全是憑運氣�,有可能那一部份內(nèi)存始終是存放不變的且無用的信息,攻擊將會無效���;如果該內(nèi)存數(shù)據(jù)是變動的����,那攻擊者可以反復(fù)獲取�����,直到獲取到完整的敏感數(shù)據(jù)為止��,要達到這樣的結(jié)果是不容易的。綜合看�,被利用的幾率很低,約在百萬分之一以下�。
“需要反復(fù)去獲取那個內(nèi)存區(qū)域的數(shù)據(jù),如果碰巧得到了敏感數(shù)據(jù)�,就有用了。金融系統(tǒng)是不允許有這樣的系統(tǒng)的�,別的系統(tǒng)沒有進攻價值?!睆堃阏f��。
記者了解到���,OpenSSL是SSL協(xié)議的一種實現(xiàn)���,linux系統(tǒng)上自帶,默認的SSL實現(xiàn)����,算是系統(tǒng)級的漏洞,但是危害遠沒有木馬的危害大�����,影響不會如一些安全公司所聲稱得那樣大。
何漸興表示:“這次關(guān)于該漏洞的報道�����,因為各種原因���,渲染得很嚇人�,其實普通網(wǎng)民不用擔(dān)心�����。不過���,網(wǎng)絡(luò)安全向來無小事����,希望各網(wǎng)站運營商要高度重視本次安全事故�,要第一時間堵上漏洞,不給犯罪分子可乘之機���?�!?/p>
