OpenSSL“Heartbleed”漏洞消息发布前的惊魂72小时

摘要: 从芬兰到硅谷,有一支小规模的漏洞猎手团队发现了互联历史上最为严重的网络安全漏洞,并为之积极准备着。 最近Heartbleed这个词可谓是家喻户晓,这个安全漏洞引起了几乎每个网民

从芬兰到硅谷,有一支小规模的漏洞猎手团队发现了互联历史上最为严重的网络安全漏洞,并为之积极准备着。

最近Heartbleed这个词可谓是家喻户晓,这个安全漏洞引起了几乎每个网民的担心。但其实David Chartier 早在一周前,当所有人还蒙在鼓里的时候,就已经知道它的存在了。

周五一大早,Codenomicon安全公司的CEO Chartier 接到了一个从芬兰打来的电话,那时他才刚刚到达在硅谷的办公室。在那个平常的不能再平常的阴霾天,Chartier 同往常一样接起了电话,另一头是公司的首席网络安全工程师,他所在的网络安全队伍在全世界最大的开源加密服务OpenSSL中找到了一个严重漏洞。最为可怕的是,这个用于保护用户个人隐私的OpenSSL被几乎所有的主流网站所采用,包括Google和Facebook。

Chartier明白,事情非同小可,但在那个瞬间,他也不太清楚接下来会发生什么。

创立于2001年的Codenomicon是由一群芬兰IT专家建立的国际网络安全研究所,它在全世界六个国家都有自己的办公室。这群专家其实各个都是赏金漏洞猎人,而Codenomicon的工程师的日常工作,或者说最擅长的工作,就是为软件检查漏洞,再写出修复补丁。Verizon,微软还有Adobe都是他们的客户。

作为公司CEO的Chartier 已经有20多年的相关工作经验了,见识过的漏洞也不胜计数。但这次不一样。就算是著名的计算机安全研究员Bruce Schneier 后来也把这个漏洞视为“灾难性”的安全事故,影响了几乎所有网民——“如果评级是1到10,这次达到了11级。” 他写道。

在挂电话之前,Chartier 让其中一个芬兰工程师马上写一串漏洞检测代码去攻击自己的网站。这样一来他就可以了解到,如果黑客真的发现漏洞,会对网站造成多么严重的损失。

凭过去的经验,Chartier 判断接下来的24小时会非常关键,而最重要的就是做好保密——Chartier 用自己公司内部的加密通信设备,通知他的芬兰工程师团队把修复补丁写出来。

“我们把它视作最高机密,谁也不能泄密,我们甚至还检查了自己有没有被监听。”
Chartier一个人在硅谷指导着远在芬兰的团队。

“那些报道一点都不夸张,成千上万的网络服务器都在使用OpenSSL,太多人受牵连了。” David Chartier 说。

首先要做的就是把漏洞上报到芬兰国家网络安全中心,也就是业内人士熟知的“CERT(计算机紧急响应小组)” 。漏洞是在广泛部署的OpenSSL加密服务中发现的,所以周六早上,CERT就集合了由全球共12个志愿开发人员组成OpenSSL 项目小组。CERT指挥他们开始更新自己的系统,并尽快备好补丁,以面向公众发布。

Chartier 并不知道,在Google里的一位鲜为人知的安全专家Neel Mehta 也在同一天发现并同时报告了OpenSSL 的漏洞。有趣的是,这个漏洞其实早在2012年3月就有了,这两个完全不相干的团队同时发现并上报,多少有些蹊跷。(Mehta不愿就这篇文章接受采访)

不管怎样,Chartier 和他的团队必须尽力。他明白,要是由OpenSSL 小组自己来公布这个漏洞报告,所含信息很可能不多,用户也不太清楚要怎么应对。于是,他决定就这个安全漏洞准备一场宣传活动,把信息充分地传出去。

“漏洞报告更新天天都有,已是家常便饭,” Chartier说,“你作为IT经理,怎么样能够判断哪些是重要的而哪些不是呢?所以我们为报告取了名,还准备了一些Q&A,为的就是让人们明确知道这是这么多年来最为严重的一个漏洞。”

一直到周五的晚上,这个漏洞还一直被标识为“CVE-2014-0160“。周六早晨,在芬兰首都赫尔辛基办公室工作的Codenomicon 系统管理员Ossi Herrala 想到了这个名字:Heartbleed。

“OpenSSL上有一个扩展叫做Hearbeat,”Chatier 解释说:“Ossi觉得Heartbleed 很贴切,因为内存里用户的重要信息像血一样流了出来。”

Marko Laaso也是Codenomicon的员工,在周六一大早他就注册了 Heartbleed.com这个域名。而在2008年,Heartbleed.com 则是一个给忧郁症患儿分享歌词和链接的网站。

整个团队非常高效。设计师开始设计Logo——一颗正在流血的心。当网站注册成功,Logo也确定之后,市场部就着手准备网站上的Q&A内容了。

周日的时候,Codenomicon的员工们用加密通讯工具交流,而Chartier继续监测网络,他要确保这个漏洞的消息没有被泄露出去。到了当天晚上,所有的营销材料准备就绪,整个团队也紧张的等待着,等着在OpenSSL发布补丁的第一时间上线Heartbleed.com。

“在补丁发布前,我们不可能先把消息发布出去,这只会引起恐慌,因为在补丁出来前,用户根本不明白要怎么保护自己。那样做这也违背了我们本意。”Chartier说。

最终到了周一下午,Heartbleed.com 终于上线,人们一下子涌了进来,媒体也纷纷跟进报道。基本上所有主流媒体,从CNN 到 华盛顿邮报 再到纽约客,都报道了OpenSSL漏洞的事。截止到周三下午,算起来连48小时都不到,网站就有140万不同的独立访问,现在则接近200万。Heartbleed.com 能起到这么大的作用,Chartier备感欣慰。

“保障网络安全就是我们的使命,” Chartier 提到。“IT安全社区也尽全力打了一场胜仗,这份功劳属于整个IT安全社区。”

时间: 2024-09-24 14:42:15

OpenSSL“Heartbleed”漏洞消息发布前的惊魂72小时的相关文章

OpenSSL “Heartbleed” 漏洞意味着什么?要如何应对?

摘要: SSL可能是大家接触比较多的安全协议之一,看到某个网站用了https://开头,就是采用了SSL安全协议.而OpenSSL,则是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码 SSL可能是大家接触比较多的安全协议之一,看到某个网站用了https://开头,就是采用了SSL安全协议.而OpenSSL,则是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法.常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用.OpenSSL是

Centos 6.5下yum升级、修复OpenSSL heartbleed漏洞

这两天OpenSSL Heart Bleed 漏洞搞得人心惶惶,请看这篇文章:分析.诊断OpenSSL Heartbleed Bug,目前可知的能够利用此漏洞的版本是: OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable OpenSSL 1.0.1g is NOT vulnerable OpenSSL 1.0.0 branch is NOT vulnerable OpenSSL 0.9.8 branch is NOT vulnerabl

OpenSSL曝漏洞 数据难被大规模窃取

摘要: 一个国外黑客的爆料,严重冲击了Windows XP停止官方支持消息的关注度.4月7日,有国外黑客公布了被称为heartbleed的OpenSSL漏洞.这一漏洞存在于OpenSSL v1.0.1--1.0.1f版本中,如果用户使用 一个国外黑客的爆料,严重冲击了Windows XP停止官方支持消息的关注度.4月7日,有国外黑客公布了被称为heartbleed的OpenSSL漏洞.这一漏洞存在于OpenSSL v1.0.1--1.0.1f版本中,如果用户使用https协议访问使用了上述版本的

Heartbleed 漏洞补丁引发 SSL 链接 bug

Shawn the R0ck 写道 "OpenSuSE社区收到关 于最近因为OpenSSL heartbleed漏洞的修复关于padding扩展代码的改动导致IronPort SMTP服务器出现异常阻断的bug报告.OpenSSL 1.0.1g不仅仅是修复了heartbleed漏洞,而且也增加了一些padding扩展的改动: define TLSEXT_TYPE_padding 21 这直接导致SSL链接出错(至少在Ironports的设备上): SSL23_GET_SERVER_HELLO:t

绿盟科技发布OpenSSL高危漏洞技术分析与防护方案 G20成员国美国、中国、德国受影响较大

近日,OpenSSL官方发布了版本更新,修复了多个OpenSSL漏洞,这次更新所修复的漏洞中,有两个危害等级较高的为CVE-2016-6304和CVE-2016-6305.绿盟科技对此漏洞进行了技术分析并提出了防护方案. 自2014年4月心脏滴血漏洞爆发以来,绿盟科技对OpenSSL的CVE漏洞进行密切的监控,据绿盟科技威胁情报中心(NTI)统计到的数据显示,2年来OpenSSL漏洞变化不大总体持平,总计高危漏洞13个,其中今年9月份3个高危漏洞.绿盟科技漏洞库迄今为止收录了82个重要漏洞. O

openssl升级防止 Heartbleed 漏洞问题

贴下知乎的回答: 另外有一个测试网站是否受到影响的服务:Test your server for Heartbleed (CVE-2014-0160) (现在长期503) 根 据页面上的介绍,这个 OpenSSL 的实现漏洞可以在握手阶段获取到主机上的敏感内存数据,甚至包括 SSL 证书私钥!漏洞2012年出现,昨天(2014年4月7日)才刚刚被修复.想问一下知乎上的信息安全专业人士们,这个漏洞的可利用性和影响范围究竟有多 大?如果是,那么这个曾今的 0day 是否被广泛利用? 很严重的漏洞,涉

OpenSSL告警处理不当远程拒绝服务漏洞 绿盟科技发布安全威胁通告

OpenSSL又出漏洞了 CVE-2016-8610 OpenSSL官方已经修复了补丁,还请广大用户尽快升级,不要犯了之前的错误. APT组织FruityArmor利用微软刚修补的漏洞发起攻击 黄金72小时的威力再次证明 攻防是在比谁更快 .绿盟科技发布<OpenSSL未定义告警远程拒绝服务漏洞安全威胁通告>报告全文如下: seclists.org网站发布了一条关于OpenSSL远程拒绝服务漏洞的通告.OpenSSL在处理未定义告警数据时候存在缺陷:攻击者可以通过重复发送SSL3_AL_WAR

openssl 使用-Openssl心血漏洞扫描工具CrowdStrike Heartbleed Scanner的说明

问题描述 Openssl心血漏洞扫描工具CrowdStrike Heartbleed Scanner的说明 Openssl心血漏洞扫描工具CrowdStrike Heartbleed Scanner的说明 解决方案 主要就是检测返回的ssl handshake hello包等,然后构建发送特意设定好的数据

普通用户如何应对OpenSSL的Heartbleed漏洞

普通用户如何应对 Heartbleed漏洞4月9日,一个代号" Heartbleed"(意为"心脏出血")的重大安全漏洞日前被 曝光,它能让攻击者从服务器内存中读取包括用户名.密码和信用卡号等隐私信息在内的数据,目前已经波及大量互联网公司. 那么普通用户如何保护自己免受攻击呢?科技博客网站CNET咨询网络安全专家之后,给出了以下操作建议:1. 不要在受影响的网站上登录帐号--除非你确信该公司已经修补了这一漏洞.如果该公司没有向你通告相关进展,你可以询问他们的客服团队