福布斯网络安全专栏作家约瑟夫斯坦伯格写道:“一些人认为,至少在潜在影响方面,‘Heartbleed’是自互联网商业化以来发现的最严重的漏洞。”约瑟夫的《Heartbleed》到底有什么漏洞,配得上如此沉重的语气?如果你经历过2014年的互联网安全危机,一定还记得。“Heartbleed”漏洞就像一把打开地狱的钥匙。无数黑客利用该漏洞在全球范围内肆无忌惮地对各种目标网站发起攻击。大到雅虎、GitHub、思科,小到不知名的小站,都受到了影响。一时间,互联网成了黑客的天堂。美国第二大营利性连锁医院的安全密钥被盗,450万条病历被泄露;加拿大联邦政府关闭了税务局和多个部门的在线服务;Steam、英雄联盟、索尼在线娱乐等游戏受到影响。全球多地网民也经历了一波恐慌。漏洞披露后的几天内,他们都不敢访问https网站,生怕账户密码等敏感信息被黑客窃取。工程师们也在加班加点修复漏洞,防止黑客利用漏洞攻击网站。美国国家安全局也因为这个漏洞陷入了信任危机。据彭博社报道,美国国家安全局在该漏洞出现后不久就知道了该漏洞的存在,但并未对外披露,而是严格保密,以期将其作为发动网络战的武器。“Heartbleed”的由来“Heartbleed”漏洞始于其作者RobinSegelman。2012年,传输层安全性(TLS)和数据报传输层安全性(DTLS)协议的Heartbeat扩展成为标准,提供了一种测试和维护安全通信链路的方法,而无需每次都重新协商连接。其作者之一Robin在2011年实现了OpenSSL的heartbeat扩展,随后被OpenSSL四大核心开发者之一的StephenN.Hansen审阅。不幸的是,斯蒂芬没有发现错误。2011年底,这段有致命缺陷的代码被添加到OpenSSL源代码库中。OpenSSL是一个开源软件库包,应用程序可以使用它来安全通信并避免窃听。Apache使用它来加密https,OpenSSH使用它来加密SSH。基本上大多数SSL协议都使用OpenSSL。换句话说,只要任何家庭网站安装了SSL证书,就会存在这个漏洞,让黑客有机可乘。本来给网站安装SSL证书是为了保护网站的安全,没想到会适得其反。这个漏洞存在了两年,2014年被谷歌安全团队的NeilMehta发现并报告。“Heartbleed”原理“Heartbleed”是如何被用来窃取敏感数据的?尝试用一个不恰当但非常生动易懂的例子来解释它的原理。我们将服务器比作物流公司的传送带设备,将访客比作分拣机。当用户从服务器接收数据时,相当于分拣员从传送带上取走快递。不管分拣机用多大的包,传送带上的快件都会装满,正常情况下不会有问题。但是有一天,一位黑客出现了。他负责分拣发往新疆的快递。发往新疆的快递很少。本来只能用一个小袋子来装的。但他居心叵测地用了一个大包,因为控制传送带的系统存在严重的bug,导致他为了装满大包,将发往其他地区的快递放到了黑客的包里。黑客在其他地区获取了快递。其他地区的快递是其他用户的敏感数据。最糟糕的是,黑客还可能获得控制传送带系统的钥匙。黑客一旦获得钥匙,就可以随意控制传送带,在任何区域窃取快递包裹。这个密钥就是密码学中所谓的私钥。黑客每次最多可以拿走传送带上的64个包裹,所以不可能一次拿走传送带上的所有包裹,所以攻击量小,不会造成所有用户的数据泄露,但是由于漏洞的存在,黑客可以频繁抓取用户的敏感数据,最终窃取所有包。以上就是黑客利用“Heartbleed”漏洞进行攻击的过程。在文章的最后,我们来谈谈一些有趣的事情。虽然“Heartbleed”在全球造成了很大的破坏,但它并非完全没有好处。反恶意软件研究人员利用该漏洞访问网络犯罪分子的秘密论坛。黑人制片人可能做梦也想不到,他们会因为电脑程序漏洞而面临入狱的风险。
