9 o! g. e% L. A2 F4 U p7 i发现者们给这个漏洞起了个形象的名字:heartbleed,心脏出血。这一夜,互联网的安全核心,开始滴血。 ! _7 D8 _) q- ?2 S5 P ! x) m t% W" V- Q/ E c中国有至少三万台机器“带病” 0 [3 e, N+ {3 z+ I, v2 o, q6 q0 g. s6 t& g. q7 e6 B) c
一些安全研究者认为,这个漏洞影响可能没有那么大,因为受漏洞影响的OpenSSL 1.01系列版本,在互联网上部署并不广泛。) K+ ^. C# [: ^2 `
* u# N; Z* R' `" I国内老资格的安全工作者、安天实验室首席架构师江海客不认同这种说法。他在微博上预警:“这一次,狼真的来了”。2 C5 Y4 p% W. _; E
! Z: A* d4 O9 R7 v8 B/ `2 w/ U" c
余弦则以对问题进行了精确的定量分析。4月8日的不眠之夜中,他除了在Twitter和各大论坛中实时跟踪事态的最新进展,更重要的精力放在了ZoomEye系统的扫描上。根据该系统扫描,中国全境有1601250台机器使用443端口,其中有33303个受本次OpenSSL漏洞影响!443端口仅仅是OpenSSL的一个常用端口,用以进行加密网页访问;其他还有邮件、即时通讯等服务所使用的端口,因时间关系,尚未来得及扫描。 8 t& V! Z9 d+ M0 v2 y, Q6 P( u0 |7 d$ l3 }
ZoomEye是一套安全分析系统,其工作原理类似Google,会持续抓取全球互联网中的各种服务器,并记录服务器的硬件配置、软件环境等各类指标,生成指纹,定期对比,以此确定该服务器是否存在漏洞或被入侵。在此次“心脏出血”漏洞检测中,余弦给该系统后面加上一个“体检”系统,过滤出使用问题OPenSSL的服务器,即可得出存在安全隐患的服务器规模。 " w' i- ?5 `) p' e7 ^) S- p% D( ^% X& G
从该系统“体检”结果看,比三万台问题服务器更令人惊心的,是这些服务器的分布:它们有的在银行网银系统中,有的被部署在第三方支付里,有的在大型电商网站,还有的在邮箱、即时通讯系统中。, c/ o$ ~5 K4 u8 ~; D* a, Q
1 p$ l M- ?9 y3 @) Q* ]自这个漏洞被爆出后,全球的骇客与安全专家们展开了竞赛。前者在不停地试探各类服务器,试图从漏洞中抓取到尽量多的用户敏感数据;后者则在争分夺秒地升级系统、弥补漏洞,实在来不及实施的则暂时关闭某些服务。余弦说,这是目前最危险的地方:骇客们已经纷纷出动,一些公司的负责人却还在睡觉。而如果骇客入侵了服务器,受损的远不止公司一个个体,还包括存放于公司数据库的大量用户敏感资料。更为麻烦的是,这个漏洞实际上出现于2012年,至今两年多,谁也不知道是否已经 有骇客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。 - Z8 i+ [2 E' O R. U8 Y0 N% _+ A6 \ & s6 [% J. g' f% Q9 ?- v问题的应对与新的问题/ ]) l. {) N) S |
发表于 2014-4-9 09:16:59
发表于 2014-4-9 13:48:26
要去银行改密码么
发表于 2014-4-9 10:35:07
发表于 2014-4-9 10:40:10
楼主
