4月9日下午,廣東井田云科技有限公司首席架構設計師何漸興打開井田商業管理系統后臺,將OpenSSL文件里的一個源碼頁面加上了一段大學計算機課上常用的一個if語句,就把日前在網上瘋傳的OpenSSL漏洞,輕松給補上了。
何漸興介紹說,打個比方,OpenSSL漏洞就像是一個房子的門開了一條非常細的縫,如果門外的陌生人經過并朝門縫里盯一眼,他理論上有可能看見室內發生的事情。用這條if句的安全機制就是,如果發現門外有陌生人經過,主人便適時堵住門縫。
幾小時可完成修補
自4月7日爆出有關漏洞消息后,有安全公司在其官方網站上發布新聞稱,該公司安全檢測平臺對國內120萬家經過授權的網站掃描,其中有11440個網站主機受OpenSSL“心臟出血”漏洞影響。4月7日、4月8日期間,共計約2億網友訪問了存在OpenSSL漏洞的網站。
4月9日上午,何漸興在網上看到這一消息,便花了半天時間研究了該漏洞并查看了相應的問題代碼,了解了漏洞原理。他發現,修補該漏洞其實不難,網站用戶無需做任何工作,只等網站的運維人員改變OpenSSL到安全的版本即可,這通常在幾個小時內可以完成。
他表示:“所謂的OpenSSL現驚天大漏洞,各大媒體爭相報道,其實大可不必擔心。”
作為一名有8年網站編程經驗的開發者,何漸興按照烏云網(IT行業的知識共享網站)提供的解決方案,彌補了OpenSSL系統級漏洞—這兩行代碼由56個字符組成,這個if句實際上做了一個判斷,如果用戶提供了一個空數據給服務器,就會造成讀取別的內存地址。“稍微熟練的IT人員都能輕松給漏洞打補丁。”
漏洞危害被放大?
目前,國內大多數在線購物平臺及金融網站,在PC端用IE打開的時候,都使用了 “//”傳送協議,在用戶與服務器進行交互的時候,服務器與客戶端每隔一定時間 (比如數秒)進行一次數據通信,這種間歇性通信時發送的數據包被稱之為“心跳包”。這種通信過程出現的漏洞,因此得名“心跳出血”漏洞。
為了保障用戶的通信安全,常用的一種加密技術便是SSL。SSL(SecureSocketsLayer安全套接層)的重要作用在于:認證用戶和服務器,確保數據發送到正確的客戶機和服務器;加密數據以防止數據中途被竊取;維護數據的完整性,確保數據在傳輸過程中不被改變。
在加密技術中,開源的OpenSSL是一種最常用的加密模式,相當于互聯網上銷量最大的門鎖。目前正在各大網銀、在線支付、電商網站、門戶網站、電子郵件等重要網站上廣泛使用。故消息一出,包括阿里、京東等紛紛發表聲明,稱已解決這一問題。
艾媒咨詢CEO張毅告訴 《每日經濟新聞》記者,OpenSSL漏洞原理在于,攻擊者的用戶構造了特殊的數據包,通過安全鏈接(SSL)提交到有該漏洞的服務器時能獲取到某一塊64KB的內存數據,但該內存數據很可能是不完整的,也可能是無價值的,如果碰巧該數據有完整信息且是用戶的敏感數據,那將會對該網站用戶造成危害,諸如密碼泄露之類。
百萬分之一的幾率
張毅表示,攻擊者其實只可以獲取固定的某一塊內存數據,所以獲取到什么樣的數據完全是憑運氣,有可能那一部份內存始終是存放不變的且無用的信息,攻擊將會無效;如果該內存數據是變動的,那攻擊者可以反復獲取,直到獲取到完整的敏感數據為止,要達到這樣的結果是不容易的。綜合看,被利用的幾率很低,約在百萬分之一以下。
“需要反復去獲取那個內存區域的數據,如果碰巧得到了敏感數據,就有用了。金融系統是不允許有這樣的系統的,別的系統沒有進攻價值。”張毅說。
記者了解到,OpenSSL是SSL協議的一種實現,linux系統上自帶,默認的SSL實現,算是系統級的漏洞,但是危害遠沒有木馬的危害大,影響不會如一些安全公司所聲稱得那樣大。
何漸興表示:“這次關于該漏洞的報道,因為各種原因,渲染得很嚇人,其實普通網民不用擔心。不過,網絡安全向來無小事,希望各網站運營商要高度重視本次安全事故,要第一時間堵上漏洞,不給犯罪分子可乘之機。”
陜煤集團榆林化學二期項目取
國家電投集團印發水、火、風
