三年前，一個(gè)名為“心臟滴血”的 OpenSSL 漏洞讓整個(gè)互聯(lián)網(wǎng)為之一顫，三年后的今天，依然有接近  200,000 個(gè)服務(wù)器和設(shè)備依然籠罩在心臟滴血的恐怖之中。

這一數(shù)據(jù)來自于搜索引擎 Shodan 發(fā)布的一份心臟滴血漏洞報(bào)告，記錄了心臟滴血漏洞從 2014年4月被發(fā)現(xiàn)以來至 2017 年 1 月，依然受影響的設(shè)備的數(shù)量及分布等情況。

其中，199,594 個(gè)樣本數(shù)據(jù)中，數(shù)量排前三的國家分別是美國（42,032）、韓國（15,380）、中國（14,116）、德國（14,072）和法國（8,702）

【數(shù)據(jù)按國家分布，中國排第三】

 回顧 | 心臟為何滴血？

2014 年 4 月 8日，谷歌研究員 Neel Mehta 發(fā)現(xiàn)一個(gè)可以從特定服務(wù)器上隨機(jī)獲取 64K 數(shù)據(jù)的漏洞，并將其命名為“heartbleed"（心臟滴血）——代表著最致命的內(nèi)傷。

之所以叫“心臟滴血”，和該漏洞的原理有關(guān)。

據(jù)雷鋒網(wǎng)了解，最初人們?yōu)榱司W(wǎng)絡(luò)通信安全，就開始使用安全協(xié)議進(jìn)行加密通信，SSL（Secure Socket Layer）就是一種安全協(xié)議。隨著開源軟件的流行，有人寫了一款叫  OpenSSL  的開源程序供大家方便地對通信進(jìn)行SSL加密，后來這款軟件便在互聯(lián)網(wǎng)中被廣泛應(yīng)用。我們在瀏覽器地址欄常見的 https 前綴的網(wǎng)址以及那把小鎖圖標(biāo)，通常就是指該網(wǎng)站經(jīng)過 SSL 證書加密。

OpenSSL 有一個(gè)叫 Heartbeat （心跳檢測）的拓展，問題就出在這個(gè)拓展上，這也是漏洞被命名為“心臟滴血”的直接原因。

所謂心跳檢測，就是建立一個(gè)  Client Hello 問詢來檢測對方服務(wù)器是不是正常在線 ，服務(wù)器發(fā)回 Server hello，表明正常樹立SSL通訊。就像我們打電話時(shí)會(huì)問對方 “喂聽得到嗎？”一樣。

每次問詢都會(huì)附加一個(gè)問詢的字符長度 pad length，bug 來了，如果這個(gè) pad length 大于實(shí)際的長度，服務(wù)器仍是會(huì)回來相同規(guī)模的字符信息，于是形成了內(nèi)存里信息的越界訪問。

如果你還聽不懂，看完這個(gè)漫畫應(yīng)該就懂了。

【漫畫來自 XKCD Comic】

就這樣，每發(fā)起一個(gè)心跳，服務(wù)器就能泄露一點(diǎn)點(diǎn)數(shù)據(jù)（理論上最多泄露  64K），這些數(shù)據(jù)里可能包括用戶的登錄賬號密碼、電子郵件甚至是加密秘鑰等信息，也可能并沒有包含這些信息，但攻擊者可以不斷利用 "心跳”來獲取更多的信息。就這樣，服務(wù)器一點(diǎn)一點(diǎn)泄露越來越多的信息，就像是心臟慢慢在滴血，心臟滴血漏洞的名字由此而來。

由于互聯(lián)網(wǎng)應(yīng)用最廣泛的安全傳輸方法就是 SSL，而 Open SSL 又是多數(shù) SSL 加密網(wǎng)站使用的開源軟件包，所以漏洞影響范圍廣大，一時(shí)間席卷全球各個(gè)互聯(lián)網(wǎng)相關(guān)領(lǐng)域，網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等無一幸免。

當(dāng)時(shí)有研究人員利用漏洞掃描工具 Zmap 搜索存在心臟滴血漏洞的網(wǎng)站，結(jié)果發(fā)現(xiàn)在 Alexa 網(wǎng)站流量排名前百萬的網(wǎng)站中，有 40.9% 的網(wǎng)站中招。而全球第一個(gè)被攻擊通告的案例讓所有人籠罩在心臟滴血的恐怖氛圍之中：加拿大稅務(wù)局因心臟滴血漏洞導(dǎo)致 900 個(gè)納稅人的社會(huì)保障號被盜，900 個(gè)人的社保號在系統(tǒng)中完全被刪除了。

當(dāng)時(shí)中國又發(fā)生了什么呢？漏洞爆發(fā)當(dāng)天整個(gè)中國互聯(lián)網(wǎng)兵荒馬亂，幾乎所有安全團(tuán)隊(duì)陷入瘋狂，甲方的安全部門十萬火急升級 OpenSSL，乙方安全公司全力為客戶數(shù)據(jù)應(yīng)急方案和參考信息；地下黑客同樣徹夜未眠，他們瘋狂地收集各種網(wǎng)站數(shù)據(jù)，各種刷，雙方真正陷入爭分奪秒的數(shù)據(jù)之爭，當(dāng)天的漏洞平臺(tái)是這樣的。

   

即使是修復(fù)速度最快的淘寶，也是在當(dāng)天下午5點(diǎn)左右才修復(fù)完畢，這期間的數(shù)小時(shí)可能已有數(shù)據(jù)被抓走，雖然至 4月12 日大部分網(wǎng)站已經(jīng)修復(fù)完畢，但這一期間已經(jīng)不知多少數(shù)據(jù)泄露。所以 OpenSSL 心臟出血漏洞也堪稱中國網(wǎng)絡(luò)安全的一個(gè)災(zāi)難事件。

更令人不寒而栗的是，「心跳檢測」機(jī)制在 Open SLL 發(fā)布1.0.1版本的時(shí)候就開始存在，該漏洞應(yīng)該已經(jīng)存在兩年之久后才被人發(fā)現(xiàn)并且做出修正。沒人知道在這兩年期間有多少黑客已經(jīng)發(fā)現(xiàn)并利用這個(gè)漏洞進(jìn)行大范圍的網(wǎng)絡(luò)攻擊活動(dòng)，因?yàn)檫@種攻擊方式很難被察覺到。如果做好最壞的估計(jì)，也許所有大網(wǎng)站的用戶數(shù)據(jù)都已經(jīng)泄露。

近二十萬設(shè)備心臟依然滴血？

就是這樣一個(gè)致命的漏洞，在發(fā)生將近三年后，全球居然仍有接近20多萬臺(tái)設(shè)備存該問題，中國就有超過1萬臺(tái)，讓人匪夷所思。

 Shodan 創(chuàng)始人 John Matherly 說，

雖然該漏洞當(dāng)時(shí)在媒體宣傳下迅速被廣泛關(guān)注，成千上萬受影響的設(shè)備被及時(shí)修復(fù)（數(shù)量從600,000左右 迅速降至 200,000左右）然而在風(fēng)浪漸息之后，這個(gè)數(shù)量就下降得非常緩慢。

如今，攻擊者依然不需要太多技術(shù)水平就可以輕易實(shí)現(xiàn)對存在心臟滴血漏洞的服務(wù)器。如果企業(yè)沒有及時(shí)修補(bǔ)該漏洞，依然存在和三年前相同的風(fēng)險(xiǎn)。 

安全人員分析，這些未修補(bǔ)漏洞的企業(yè)還不知道自己使用的 OpenSSL 中存在著高危的心臟滴血漏洞。但在雷鋒網(wǎng)看來，也許他們很快就知道了。

點(diǎn)此可在線閱讀 Shodan 發(fā)布的《心臟滴血漏洞報(bào)告》。   雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。