Heartbleed容易被利用

自研究人员披露OpenSSL中的Heartbleed漏洞以来，一周内，关于攻击者可以通过利用该漏洞实际获得哪些信息的讨论很多。 结果很多。

正如Security Watch之前指出的那样，Heartbleed是OpenSSL中一个漏洞的名称，该漏洞会泄漏计算机内存中的信息。 （查看XKCD解释漏洞的 出色 漫画）研究人员发现，利用漏洞可以拦截登录凭据，用户信息和其他信息。 专家认为，也可以通过这种方式获取服务器的私钥。

证书和私钥用于验证计算机（或移动设备）是否与合法网站连接以及所传递的所有信息均已加密。 浏览器使用挂锁指示安全连接，并在证书无效时显示警告。 如果攻击者可以窃取私钥，则他们可以建立一个伪造的网站，该网站看起来合法并拦截敏感的用户数据。 他们还将能够解密加密的网络流量。

安全观察测试

好奇地想知道运行有漏洞的OpenSSL版本的服务器能做什么，我们启动了一个Kali Linux实例，并加载了Metasploit的Heartbleed模块，该模块是Rapid7的渗透测试框架。 该漏洞很容易被利用，我们从易受攻击的服务器的内存中收到了字符串。 我们使流程自动化，以在重复执行请求的同时继续对服务器进行处理，同时在服务器上执行各种任务。 经过一整天的测试，我们收集了很多数据。

事实证明，获取用户名，密码和会话ID相当容易，尽管它们被埋在看上去像是一大堆傻瓜中。 在现实生活中，如果我是攻击者，则可以非常快速，秘密地窃取凭据，而无需大量的技术知识。 但是，这涉及到运气，因为当某人登录或与该站点进行交互以在“内存中”获取信息时，该请求必须在正确的时间到达服务器。 服务器还必须占用内存的正确部分，到目前为止，我们还没有找到控制它的方法。

我们收集的数据中没有私钥。 很好，对吗？ 这意味着，尽管我们担心最坏的情况，但要从易受攻击的服务器中获取密钥或证书并不容易，这让我们所有人在后动荡世界中不必担心。

甚至为网站提供安全服务的公司Cloudflare的聪明人似乎也同意这不是一个容易的过程。 不是没有，但很难做到。 “我们花了大量时间进行广泛的测试，以找出可以通过Heartbleed公开的内容，尤其是了解私有SSL密钥数据是否存在风险，” Cloudflare的系统工程师Nick Sullivan最初在公司上周的博客。 沙利文补充说：“如果可能的话，这至少很难。”

该公司上周建立了一个易受攻击的服务器，并要求安全社区使用Heartbleed错误尝试获取服务器的私有加密密钥。

但实际上…

现在有了众包的力量。 在Cloudflare提出挑战9个小时后，安全研究人员在向服务器发送了250万个请求后成功获得了私钥。 沙利文说，另一位研究人员设法以更少的请求（大约100, 000个）进行相同的操作。 周末又有两名研究人员跟进。

沙利文说：“这一结果提醒我们不要低估人群的力量，并强调这种脆弱性带来的危险。”

我们回到测试设置。 这次，我们使用了Errata Security首席执行官Robert Graham的heartleech程序。 它花费了数小时，消耗了大量带宽，并生成了大量数据，但是我们最终获得了密钥。 现在，我们需要针对其他服务器进行测试，以确保这不是fl幸。 Security Watch也将探索在路由器和其他网络设备上安装OpenSSL的事实如何使这些设备面临风险。 当我们有更多结果时，我们将更新。

格雷厄姆总结说，并非所有人都可以，“任何人都可以轻松获得私钥”。 这是一个可怕的想法。