heartbleed漏洞事件：可怕的不是公开的漏洞，而是未公开的漏洞

4月8日，对于互联网界似乎是不平常的一天。这一天，一个代号“心脏出血”的重大互联网安全漏洞被国外黑客曝光。随着65.49.2.178事件（具体可查看马海祥博客发布的《65.49.2.178事件:专家呼吁中国应尽快建立DNS监控系统》相关介绍）发生还不到3个月的时间，黑客们和网络安全漏洞的检测者们又都度过了一个不眠之夜。

其实在4月7日这个细节公布之后，4月8日国内就开始对这个进行了应急，到下午的时候，比如说有些互联网公司，像百度、360、腾讯、阿里他们的应急团队就开始进行大面积的修补，但是这个修补过程实际上并不会说有那么快。

1、基础安全协议的“心脏出血”

据负责网络安全的专家透露：OpenSSL的源代码中存在一个漏洞，可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中，可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。

OpenSSL是目前互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。可以近似地说，它是互联网上销量最大的门锁。而Sean爆出的这个漏洞，则让特定版本的OpenSSL成为无需钥匙即可开启的废锁。

入侵者每次可以翻检户主的64K信息，只要有足够的耐心和时间，他可以翻检足够多的数据，拼凑出户主的银行密码、私信等敏感数据。假如户主不幸是一个开商店的或开银行的，那么在他这里买东西、存钱的用户，其个人最敏感的数据也可能被入侵者获取。

据一位安全行业人士在马海祥博客上透露，他在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功地登录了该网站。

因此，发现者们给这个漏洞起了个形象的名字：heartbleed，心脏出血。这一夜，互联网的安全核心，开始滴血。

2、关于“心脏出血”漏洞的特点

今天，在“心脏出血”事件过去2天之后，我们再研究这个漏洞细节后发现它确实是与众不同的，如同网友调侃到的：“以前房子塌了都是因为建筑本身是豆腐渣工程，而这次我们知道原来脚下的地球也可能是豆腐渣工程，没事会给你来个大地震。”

之所以安全界人士不吝自己的夸张之词来形容这个漏洞，马海祥觉得主要是因为：

（1）、影响范围巨大

仅仅是受影响的Nginx和Apache就占据了web server 70%以上的市场。

（2）、易于利用

随机获取用户信息，是攻击的第一步，也几乎是最后一步。只要有攻击工具，无需任何专业知识就可以完成。

（3）、难于检测

攻击所用的心跳包并非是完整的HTTP会话，不会在web server留下日志。

唯一的幸运是，这个漏洞难以让攻击者精确瞄准指定用户，除非能提前获知目标访问的确切时间。攻击的效果就如同对着人群乱开枪。

3、关于攻击代码

HeartBleed（心脏出血）简单的利用手法决定了它可以写脚本来自动化，就在昨天凌晨，Mustafa在Github上发布了批量扫描工具，作为目标的1000个大网站中，Yahoo，Sogou等中招。如下图所示：

随即是更大规模的扫描，截止到昨天凌晨，Alexa前10000的网站中，1300余个中招。

群里有人开始求工具，随即发现攻击代码(也叫exploit)已经公布在了著名的exploit发布网站exploit-db上：

又过了24小时，针对FTP、SMTP和POP3协议的攻击代码也出现了(OpenSSL是一个底层架构，并非只用于HTTP)。攻击代码的放出，意味着“脚本小子”们开始加入这场party，攻击行为的规模会迅速扩大，任何网站都不应该有侥幸心理。

这个漏洞从知晓原理到写出攻击代码，是有一定门槛的。只有少数人懂得利用原理的漏洞也许难以造成大的破坏，但傻瓜化利用工具的大量流传却可以做到。

4、问题的应对与新的问题

目前，ZoomEye仍在持续不断地给全球服务器”体检“，这个过程需要20小时左右。相比之下，仅仅给国内服务器体检需要的时间短得多，仅仅需要22分钟。

目前，专家已经将这份名单提交给CNCERT/CC(国家互联网应急中心)，由后者进行全国预警。但是，除了移动、联通等这些大型企业外，CNCERT也没有强制力确保其他公司看到预警内容，最后可能还是需要媒体持续曝光一些“带病”服务器，以此倒逼相关公司重视该漏洞。

而在漏洞修补期间，普通消费者与公司均应该采取相关措施规避风险。对于普通用户来说，专家建议在确认有关网站安全之前，不要使用网银、电子支付和电商购物等功能，以避免用户密码被钻了漏洞的骇客捕获。“一位银行朋友告诉我，他们补上这个漏洞需要两天时间。这两天大家最好就别登录网银了，确认安全后再登。如果已经登录过了，那就考虑换一下密码吧。”

与用户的消极避险不同，相关互联网企业则应该尽快进行主动升级。升级到最新的OpenSSL版本，可以消除掉这一漏洞，这是目前企业最便捷的做法。但在升级后，理论上还应该通知用户更换安全证书(因为漏洞的存在，证书的密钥可能已泄漏)，并通知用户尽可能地修改密码。后面这两个措施，企业实施起来会面临很大的代价，也只能通过媒体尽量曝光，让意识到的用户重新下载证书并自行修改密码了。

由于“心脏出血”漏洞的广泛性和隐蔽性，未来几天可能还将会陆续有问题爆出。在互联网飞速发展的今天，一些协议级、基础设施级漏洞的出现，可能会打击人们使用互联网的信心，但客观上也使得问题及时暴露，在发生更大的损失前及时得到弥补。作为身处其中的个人，主动应变、加强自我保护，可能比把安全和未来全部托付出去要负责任一些。

5、漏洞背后的节操

这是一场互联网上罕见规模的“流血事件”。主要受害者，不是以往第三方漏洞事件中易受冲击的中小网站，而是树大招风的大网站。

HeartBleed（心脏出血）是由Google的安全人员首先发现并公布的，这应该是一次“负责任披露”：即先通知厂商，等待厂商发布补丁之后再公开。而我们不禁要问：为什么仍然有这么多大网站成了受害者？

这里首先科普一个概念：1 Day攻击。

一个漏洞的发补丁之日，就是其公开之时。补丁本身就是分析漏洞的最佳依据，黑客会在第一时间通过补丁前后代码的比对分析出漏洞原理，并开发出攻击代码。而这时，可能绝大多数用户还没来得及打上补丁，沦为待宰羔羊。这就是所谓的“1 Day攻击”，前文提到的那些事件，均属此类。

而这个漏洞，仅仅通知作为开发厂商的OpenSSL是远远不够的，后者发布补丁后，1 Day攻击就会开始，漏洞的发现者没有理由不知道这点。他知道漏洞的危害，甚至可以很容易扫描到有哪些网站会受冲击。作为安全责任最大的一方，他做了一个精美的介绍网站，甚至设计了漏洞的logo，而我们不知道，他是否也用过同样的精力通知那些大网站采取临时措施避免攻击。

再说说国内。

“白帽子”这个称呼是给最有节操的黑客的：以研究为目的，发现漏洞会通报厂商修补，以避免被攻击者利用造成损失。

乌云作为中国最大的白帽子漏洞报告平台，给曾经被黑色产业充斥的国内安全界带来了一抹亮色。在这次事件中，却变成了黑客们秀战果的场所。如下图所示：

网站名，漏洞名俱在，漏洞状态中，很多还是“等待厂商处理”，就这样被公开在乌云上颇有“此地无银三百两”的感觉。本人试着扫描了一个，漏洞还在。这就意味着，无数浏览乌云网的人都可能步其后尘，所谓的漏洞报告反而让网站成了聚光灯下的猎物。

如上面这张图所示，不用说你就知道是哪个网站被搞啦！(时至发稿，已经修补)

6、可怕的不是公开的漏洞，而是未公开的漏洞

一个漏洞的公开之日就是死亡倒计时的开始。如以前所有的漏洞事件一样，在它被慢慢补上并淡出人们视线之前，黑客和安全人员都在抓紧最后的时间进行赛跑。

据马海祥博客了解，就在前天晚上，Yahoo邮箱服务器被证实有漏洞，不过在凌晨时发现已被修补，其间不知有多少邮箱躺枪了。而还存在一种更可怕的可能：从泄露出的内存数据，有可能还原出SSL证书的私钥(虽然目前还没有人证实能做到这一点)，这意味着在他们在付出较大代价得到新签发的证书之前，Yahoo网站的SSL加密将失去意义。通俗的说，你将永远不知道提交给Yahoo的密码有没有在传输中被人截获，甚至无法得知正在访问的那个网站是不是Yahoo真身。

对此，马海祥也认为，这种时候就算关闭SSL服务也好过放在那让人攻击，Yahoo这树太大了，多拖一分钟都很危险。

也许，这个操心是多余的。一般漏洞在公开之前都会有一段地下流传期，有的漏洞在公开前甚至被地下用过一年。这个漏洞又被用过多久？有多少账号，甚至证书私钥泄露了？细思极恐呀！

马海祥博客点评：

程序员有一句名言：It’s not a bug. It’s a feature. ——这不是bug，是功能。

而这句话的黑客版是：It’s not a vulnerability. It’s a backdoor. ——这不是漏洞，是后门。