联系站长! 傻子-跸西blog 傻子-跸西微blog
如需使用回复可见功能
请回复后刷新所在页面

顶部

底部
Feed on
Posts
Comments

一切权威看爆这次漏洞的官方动态:Heartbleed Bug(Heartbleed这个命名不错,载入史册)。

@知道创宇安全研究团队 实测可以Dump出淘宝、微信、陌陌、某些支付类接口、某些比特币平台、12306等各大使用OpenSSL服务的一些内存信息,里面有用户等的敏感内容(有些重要网站含明文密码)。

OpenSSL这次被比做「心脏出血」。可见影响。一个安全套件不安全了……

下图的科普可以让大众明白这个OpenSSL漏洞是怎么回事:

1

权威统计

而且还不知是否有更进一步影响(小道八卦影响比想象的严重)。来自Heartbleed的官方说明(大概翻译下):

OpenSSL在Web容器如Apache/Nginx中使用,这两的全球份额超过66%。还在邮件服务如SMTP/POP/IMAP协议中使用,聊天服务如XMPP协议,VPN服务等多种网络服务中广泛使用。幸运的是,这些服务很多比较古老,没更新到新的OpenSSL,所以不受影响,不过还是有很多用的是新的OpenSSL,都受影响!

特别说明下:现在大家的聚焦都在HTTPS网站(443端口),实际上还有更多敏感服务受影响,我们的研究也是在不断持续推进!不可草率判断!!

1. HTTPS服务(443端口)

来自@ZoomEye 的统计(4.8号):

全国443端口:1601250,有33303个受本次OpenSSL漏洞影响!注意这只是443端口。
全球443端口,至少受影响有71万量级(实际应该大于这个,待修正)。

ZoomEye OpenSSL漏洞国内的趋势监控(随时更新,仅是443端口):

第一天:33303 台服务器(说明:国内是4.8号爆发的,当天的影响服务器情况!)
第二天:22611 台服务器(说明:辛苦一线白帽子与运维人员等的辛苦熬夜,减了1/3!而且都是知名业务,如百度、360、微信、陌陌、淘宝等,这点非常赞!)
第三天:17850 台服务器(说明:又减少了近500台服务器,我估计剩下的都不那么大,不过不排除有很重要的!)
第四天:15661 台服务器(说明:相比第一天减少了1/2!不过减少趋势慢了……)
第五天:14401 台服务器(说明:减少趋势持续缓慢……)
第六天:13854 台服务器(说明:减少趋势持续缓慢……)

老外有个基于全球TOP1000的粗暴根域OpenSSL探测列表,仅供参考:
heartbleed-masstest/top1000.txt at master 路 musalbas/heartbleed-masstest 路 GitHub
说这个粗暴是因为:仅对「根域」。

2. 邮件服务

来自@ZoomEye 的统计(4.11号):

最新全球受影响服务及主机 SMTP Over SSL:147292台;POP3 over SSL:329747台;IMAP over SSL:353310台。

实测可以获取某些邮件服务的敏感数据。

3. 可视化

大家可以关注ZoomEye专门针对OpenSSL漏洞制作的全球监控页面(在Chrome或基于Webkit内核的浏览器下,效果最佳,目前仅是443端口):
OpenSSL Heartbleed Worldwide Vulnerable Distribution
我们未来会持续完善这个页面,给大家一个专业、公正的评判结果,辛苦ZoomEye团队的几个小伙伴辛苦突击!截图两张:
2

3

这个漏洞的全球趋势图,会在一周后数据量足够的情况下给出。

疯掉

今晚(4.8号)不知道有多少团队要熬夜:

甲方,加急升级OpenSSL(如果升级真的可以的话,目前来看是可以);
乙方,像我们这样的安全公司,在给我们全线产品+客户提供安全应急,并给社会输出有价值的参考信息;
地下黑客,刷库,各种刷!!!
每次这种大事,乌云都是被各路白帽子刷分的:

4

我们已经联合国家有关单位进行应急响应,我相信这次风波会很快平息。

用户防御建议

对于普通用户来说只要发现浏览器地址栏的网址是https开头的都应该警惕,因为这次OpenSSL漏洞影响的正是https网站,本来是安全传输的却也不安全了。可惜的是普通用户来说,有时候很难发现所使用的服务背后是https,比如:

有的仅在登录过程会https,之后都是http,典型的如百度的登录;
如果是手机上的APP等,普通用户就更不知道背后是不是https链接;

4.8号:和某银行朋友交流,他们更新这个漏洞,需要2天时间!!这段时间,用户谨慎吧,不登录就不登录(因为你登录了你的相关明文信息,如用户名密码会在那万恶的64K内存中,这段内存是可以被OpenSSL这个漏洞刷出来的……),等过3天或这些网站说修复了,大家再继续使用服务……

如果已经登录过,你紧张的话,就修改密码吧。

4.10号:最新的消息是「腾讯电脑管家」联合「安全联盟」发布了针对用户的解决方案:

做了两件事情:
一方面对50万个热门的网站扫描是否存在漏洞;
一方面会在管家用户访问https站点时,云端确认这个站点是否存在漏洞。如果用户访问有漏洞的站点,就出拦截页面提示用户,建议不要登录。

这个非常赞!

4.12号:那些知名的大网站,现在去修改密码会靠谱很多,因为这些大网站几乎修复完全了。

厂家防御建议

首先,这类攻击日志据Heartbleed官方说,无日志记录,追查不到。不过IDS/IPS等可以检测/防御(我们的加速乐也可以)。

别犹豫了!!尽快升级OpenSSL吧!!

如果厂家负责的话,可以学国外知名云平台厂家Heroku的做法:
Heroku | OpenSSL Heartbleed Security Update
升级后,提醒用户更改密码、提醒云服务使用者更新SSL密钥重复证书。不过不太指望国内厂家这样做,因为我相信用户绝对会疯掉。

附录参考
0. Heartbleed Bug(爆这次漏洞的官方)
1. ZoomEye团队的:OpenSSL Heartbleed Worldwide Vulnerable Distribution
2. 关于OpenSSL“心脏出血”漏洞的分析 – 乌云知识库 – 知乎专栏
3. @Evilm0 OpenSSL漏洞爆发后 – 微信公众号:Evil-say – 知乎专栏

———————-
这事的影响超乎想象,随时更新。

By 知道创宇 余弦,微信公众号「Lazy-Thought」。

有什么想法,说两句吧