ssl端口最近,网络安全社区的热门话题,已经社会化,淹没了主流媒体,都是关于最近在互联网上流行的一个bug——它有一个引人注目的名字——心脏出血。该漏洞允许攻击者通过SSL端口443捕获密码和其他机密信息。“心脏出血”不是病毒或木马,而是在OpenSSL实现SSL安全通信协议时发现的编码错误。我们还能信任SSL吗?证书、客户数据(密码、信用卡)安全吗?那些加密密钥又如何呢?本文将探讨哪里出了问题,如何修复,以及它对网络安全意味着什么。

如果您对网络安全感兴趣,那么研究SSL协议是一个很好的起点。

需要澄清的第一点是,并不是SSL受到了损害。协议没有错。例如,如果您正在运行IIS,那么好消息是您的网站不受攻击。问题不在于SSL,而在于两年前OpenSSL的特定版本。然而,坏消息是,OpenSSL是市场上使用最广泛的SSL包之一,因为它与市场上占主导地位的Apache Web Server一起使用。

OpenSSL在开源社区中也非常流行,因此它也是打包的与流行的Linux, Apache, MySQL, PHP (LAMP)开源服务器配置。Apache的广泛使用和捆绑的LAMP配置是一个大问题,因为Apache/OpenSSL运行在互联网上大约14%的web服务器上。更复杂的是,Apache和LAMP通常用于低端电子商务网站,这些网站可能没有资源或技术知识来解决问题。

那么什么是“心脏出血”漏洞?如何修复它?

“心脏出血”仅仅是OpenSSL 1.0.1版本中的一个编码错误,这个版本自2012年3月开始流行,在所有版本中,包括1.0.1f。该漏洞允许攻击者以端口443上的SSL为目标,操纵SSL心跳,以便读取运行OpenSSL漏洞版本的系统的内存。心跳仅仅是发送的保持活跃的消息,以确保另一方仍处于活动状态并在监听。它的用途是维护服务器和主机之间的唯一会话。如果SSL不使用心跳,那么主机将不得不不断地重新协商安全参数,这是没有效率的。因此,心跳是一件好事,因此在SSL中广泛使用。

然而,问题不在于心跳本身,而在于一行代码,它允许攻击者改变心跳大小并在端口443上使用TCP发射它。不幸的是,由于代码没有检查内存大小边界,攻击者能够从web服务器读取多达64KB的内存。通过反复改变心跳大小和重复利用,攻击者可以获得额外的64KB数据块。攻击者继续这一过程,直到他获得访问私人信息,如用户名和密码或服务器的私钥。该修复将心跳有效负载边界限制为16KB,并验证整个心跳。

最新的软件包1.0.1g发布了7th2014年4月发布了OpenSSL包的最新补丁。早期版本不受影响。因此,只有在此期间构建的系统才可能受到“心脏出血”的影响,具有讽刺意味的是,作为系统管理员,除非您一直遵循最佳实践并遵循最新的升级路径。

缓解问题和升级代码很容易,但这不是真正的主要问题。它是攻击者可能在那些64K内存块中发现的东西,这才是真正的问题所在。攻击者是否能够查看密码、信用卡信息或其他机密信息?因此,被破坏系统的所有者建议他们的客户更改密码,尽管更多的是作为预防措施,以防万一他们的凭证被盗。然而,为了将信息传达给所有客户,他们需要将漏洞社会化。几个小时内,主流媒体就报道了此事,这个新命名的“心脏出血”漏洞成了头版新闻。

虽然这并不是一件不可能发生的事情,但很快就变得很明显,客户的信誉可能已经被破坏了,这太有可能了。事实上,在Twitter和其他社交媒体网络上,已经有几次密码被捕获的演示。这一发现虽然受到一些人的争议,但清楚地指出了另一个潜在的问题。这一次,这是一个具有灾难性潜力的问题。攻击者能得到加密密钥吗?

与所有非对称加密一样,SSL私钥保持安全是至关重要的。如果私钥受到了威胁,或者甚至怀疑受到了威胁,那么安全性也会受到威胁。这还会产生进一步的后果,如果密钥遭到破坏,那么数字证书也会受到损害,它们将需要被撤销,并由受信任的证书颁发机构(CA)生成新的证书,而这将是非常昂贵的。

下面的语句发给使用OpenSSL加密的网站管理员:

这些是最重要的,加密密钥本身。泄露的密匙允许攻击者解密过去和将来访问受保护服务的任何流量,并随意模拟该服务。X.509证书中的加密和签名提供的任何保护都可以绕过。从这个泄漏中恢复需要修补漏洞,撤销被破坏的密钥,并重新发布和分发新的密钥。即使这样做,过去被攻击者拦截的任何流量仍然容易被解密。所有这些都必须由服务的所有者来完成。

“心脏出血”漏洞可能给安全和电子商务行业带来严重后果。即使是加密密钥和证书被破坏的可能性也会破坏信任并动摇公众的信心,而这一切都是由于一行代码中的一个小错误造成的。

如果您想了解更多关于网络安全和数据加密的知识,请登录Udemy.com学习如何编写安全代码

网络安全顶级课程

完整的网络安全课程:匿名浏览!
内森的房子
4.7 (3448)
完整的网络安全课程:终点保护!
内森的房子
4.6 (2997)
网络安全和IT经理的风险管理
贾森·迪翁•200,000+全球学生,迪翁培训解决方案•ATO ITIL和PRINCE2
4.5 (3996)
畅销书
网络安全攻击(红队活动)
Packt出版
4.4 (182)
InfoSys认证医疗保健安全从业者(CHISSP)
石头河网络学习
4.6 (69)
评价最高
终极暗网,匿名,隐私和安全课程
Zaid Sabih, z安全公司的
4.8 (3066)
畅销书
在网络安全领域开始并发展你的成功事业
亚历山大Oni
4.7 (767)
畅销书
精通数学密码学2020:破解任何密码
Kody奸情
4.3 (582)
畅销书

更多网络安全课程

网络安全专业的学生也在学习

让你的团队。领导行业。

使用Udemy for Business订阅在线课程库和数字学习工具。

请求一个演示