王跸西的生命体验blog-WangBiXi.com

一切权威看爆这次漏洞的官方动态：Heartbleed Bug（Heartbleed这个命名不错，载入史册）。

@知道创宇安全研究团队 实测可以Dump出淘宝、微信、陌陌、某些支付类接口、某些比特币平台、12306等各大使用OpenSSL服务的一些内存信息，里面有用户等的敏感内容（有些重要网站含明文密码）。

OpenSSL这次被比做「心脏出血」。可见影响。一个安全套件不安全了……

下图的科普可以让大众明白这个OpenSSL漏洞是怎么回事：

权威统计

而且还不知是否有更进一步影响（小道八卦影响比想象的严重）。来自Heartbleed的官方说明（大概翻译下）：

OpenSSL在Web容器如Apache/Nginx中使用，这两的全球份额超过66%。还在邮件服务如SMTP/POP/IMAP协议中使用，聊天服务如XMPP协议，VPN服务等多种网络服务中广泛使用。幸运的是，这些服务很多比较古老，没更新到新的OpenSSL，所以不受影响，不过还是有很多用的是新的OpenSSL，都受影响！

特别说明下：现在大家的聚焦都在HTTPS网站（443端口），实际上还有更多敏感服务受影响，我们的研究也是在不断持续推进！不可草率判断！！

1. HTTPS服务（443端口）

来自@ZoomEye 的统计（4.8号）：

全国443端口：1601250，有33303个受本次OpenSSL漏洞影响！注意这只是443端口。
全球443端口，至少受影响有71万量级（实际应该大于这个，待修正）。

ZoomEye OpenSSL漏洞国内的趋势监控（随时更新，仅是443端口）：

第一天：33303 台服务器（说明：国内是4.8号爆发的，当天的影响服务器情况！）
第二天：22611 台服务器（说明：辛苦一线白帽子与运维人员等的辛苦熬夜，减了1/3！而且都是知名业务，如百度、360、微信、陌陌、淘宝等，这点非常赞！）
第三天：17850 台服务器（说明：又减少了近500台服务器，我估计剩下的都不那么大，不过不排除有很重要的！）
第四天：15661 台服务器（说明：相比第一天减少了1/2！不过减少趋势慢了……）
第五天：14401 台服务器（说明：减少趋势持续缓慢……）
第六天：13854 台服务器（说明：减少趋势持续缓慢……）

老外有个基于全球TOP1000的粗暴根域OpenSSL探测列表，仅供参考：
heartbleed-masstest/top1000.txt at master 路 musalbas/heartbleed-masstest 路 GitHub
说这个粗暴是因为：仅对「根域」。

2. 邮件服务

来自@ZoomEye 的统计（4.11号）：

最新全球受影响服务及主机 SMTP Over SSL：147292台；POP3 over SSL：329747台；IMAP over SSL：353310台。

实测可以获取某些邮件服务的敏感数据。

3. 可视化

大家可以关注ZoomEye专门针对OpenSSL漏洞制作的全球监控页面（在Chrome或基于Webkit内核的浏览器下，效果最佳，目前仅是443端口）：
OpenSSL Heartbleed Worldwide Vulnerable Distribution
我们未来会持续完善这个页面，给大家一个专业、公正的评判结果，辛苦ZoomEye团队的几个小伙伴辛苦突击！截图两张：

这个漏洞的全球趋势图，会在一周后数据量足够的情况下给出。

疯掉

今晚（4.8号）不知道有多少团队要熬夜：

甲方，加急升级OpenSSL（如果升级真的可以的话，目前来看是可以）；
乙方，像我们这样的安全公司，在给我们全线产品+客户提供安全应急，并给社会输出有价值的参考信息；
地下黑客，刷库，各种刷！！！
每次这种大事，乌云都是被各路白帽子刷分的：

我们已经联合国家有关单位进行应急响应，我相信这次风波会很快平息。

用户防御建议

对于普通用户来说只要发现浏览器地址栏的网址是https开头的都应该警惕，因为这次OpenSSL漏洞影响的正是https网站，本来是安全传输的却也不安全了。可惜的是普通用户来说，有时候很难发现所使用的服务背后是https，比如：

有的仅在登录过程会https，之后都是http，典型的如百度的登录；
如果是手机上的APP等，普通用户就更不知道背后是不是https链接；

4.8号：和某银行朋友交流，他们更新这个漏洞，需要2天时间！！这段时间，用户谨慎吧，不登录就不登录（因为你登录了你的相关明文信息，如用户名密码会在那万恶的64K内存中，这段内存是可以被OpenSSL这个漏洞刷出来的……），等过3天或这些网站说修复了，大家再继续使用服务……

如果已经登录过，你紧张的话，就修改密码吧。

4.10号：最新的消息是「腾讯电脑管家」联合「安全联盟」发布了针对用户的解决方案：

做了两件事情：
一方面对50万个热门的网站扫描是否存在漏洞；
一方面会在管家用户访问https站点时，云端确认这个站点是否存在漏洞。如果用户访问有漏洞的站点，就出拦截页面提示用户，建议不要登录。

这个非常赞！

4.12号：那些知名的大网站，现在去修改密码会靠谱很多，因为这些大网站几乎修复完全了。

厂家防御建议

首先，这类攻击日志据Heartbleed官方说，无日志记录，追查不到。不过IDS/IPS等可以检测/防御（我们的加速乐也可以）。

别犹豫了！！尽快升级OpenSSL吧！！

如果厂家负责的话，可以学国外知名云平台厂家Heroku的做法：
Heroku | OpenSSL Heartbleed Security Update
升级后，提醒用户更改密码、提醒云服务使用者更新SSL密钥重复证书。不过不太指望国内厂家这样做，因为我相信用户绝对会疯掉。

附录参考
0. Heartbleed Bug（爆这次漏洞的官方）
1. ZoomEye团队的：OpenSSL Heartbleed Worldwide Vulnerable Distribution
2. 关于OpenSSL“心脏出血”漏洞的分析 – 乌云知识库 – 知乎专栏
3. @Evilm0 OpenSSL漏洞爆发后 – 微信公众号：Evil-say – 知乎专栏

———————-
这事的影响超乎想象，随时更新。

By 知道创宇 余弦，微信公众号「Lazy-Thought」。