zz写在互联网“流血事件”48小时后

zz写在互联网“流血事件”48小时后 关于HeartBleed漏洞的原理，另一篇文章已经讲得很清楚了。本文以讲故事为主。 关于漏洞 笔者是48小时前在硅谷著名的科技八卦新闻集散地”Y Combinator黑客新闻”上看到这个漏洞的。研究了细节后，发现它确实是前无古人，如同笔者在另一篇文章里提到的:以前房子塌了都是因为建筑本身是豆腐渣工程，而这次我们知道原来脚下的地球也可能是豆腐渣工程，没事会给你来个大地震。 之所以安全界人士不吝自己的夸张之词来形容这个漏洞，是因为: 1 影响范围巨大 – 仅仅是受影响的Nginx和Apache就占据了web server 70%以上的市场。 2 易于利用 – 随机获取用户信息，是攻击的第一步，也几乎是最后一步。只要有攻击工具，无需任何专业知识就可以完成。 3 难于检测 – 攻击所用的心跳包并非是完整的HTTP会话，不会在web server留下日志。 唯一的幸运是，这个漏洞难以让攻击者精确瞄准指定用户，除非能提前获知目标访问的确切时间。攻击的效果就如同对着人群乱开枪。 从微博上得知绿盟和知道创宇等安全公司的大牛们昨夜都是彻夜未眠，幕后还有更多的无名黑客在抓紧一年没几次的机会多刷点库。如同每次大的漏洞爆发事件一样，安全人员累觉不爱，小黑客们喜大普奔。 一个漏洞的公开之日就是死亡倒计时的开始。如以前所有的漏洞事件一样，在它被慢慢补上并淡出人们视线之前，黑客和安全人员都在抓紧最后的时间进行赛跑。 北京时间前天晚上，一条大鱼出现，Yahoo邮箱服务器被证实有漏洞，凌晨时发现已被修补，其间不知有多少邮箱躺枪了。而还存在一种更可怕的可能:从泄露出的内存数据，有可能还原出SSL证书的私钥(虽然目前还没有人证实能做到这一点)，这意味着在他们在付出较大代价得到新签发的证书之前，Yahoo网站的SSL加密将失去意义。通俗的说，你将永远不知道提交给Yahoo的密码有没有在传输中被人截获，甚至无法得知正在访问的那个网站是不是Yahoo真身。 笔者也认为，这种时候就算关闭SSL服务也好过放在那让人攻击，Yahoo这树太大了，多拖一分钟都很危险。 也许，这个操心是多余的。一般漏洞在公开之前都会有一段地下流传期，有的漏洞在公开前甚至被地下用过一年。这个漏洞又被用过多久?有多少账号，甚至证书私钥泄露了?细思极恐。 关于攻击代码 HeartBleed简单的利用手法决定了它可以写脚本来自动化，北京时间昨天凌晨，Mustafa在Github上发布了批量扫描工具，作为目标的1000个大网站中，Yahoo，Sogou等中招。 随即是更大规模的扫描，截止到昨天凌晨，Alexa前10000的网站中，1300余个中招。国内的360等安全公司也开始推出自己的检测工具。 群里有人开始求工具，随即发现攻击代码(也叫exploit)已经公布在了著名的www.long365.cn exploit发布网站exploit-db上: 又过了24小时，针对FTP, SMTP和POP3的攻击代码也出现了(OpenSSL是一个底层，并非只用于HTTP)。攻击代码的放出，意味着“脚本小子”们开始加入这场party，攻击行为的规模会迅速扩大，任何网站都不应该有侥幸心理。 这个漏洞从知晓原理到写出攻击代码，是有一定门槛的。只有少数人懂得利用原理的漏洞也许难以造成大的破坏，但傻瓜化利用工具的大量流传却可以做到。如同《命令与征服:将军》游戏里那句著名的呐喊:”AK-47s, for EVERYONE!” 漏洞背后的节操 这是一场互联网上罕见规模的“流血事件”。主要受害者，不是以往第三方漏洞事件中易受冲击的中小网站，而是树大招风的大网站。 HeartBleed是由Google的安全人员首先发现并公布的，这应该是一次”负责任披露”:即先通知厂商，等待厂商发布补丁之后再公开。而我们不禁要问:为什么仍然有这么多大网站成了受害者? 这里首先科普一个概念:1 Day攻击。 一个漏洞的发补丁之日，就是其公开之时。补丁本身就是分析漏洞的最佳依据，黑客会在第一时间通过补丁前后代码的比对分析出漏洞原理，并开发出攻击代码。而这时，可能绝大多数用户还没来得及打上补丁，沦为待宰羔羊。这就是所谓的”1 Day攻击”，前文提到的那些事件，均属此类。 而这个漏洞，仅仅通知作为开发厂商的OpenSSL是远远不够的，后者发布补丁后，1 Day攻击就会开始，漏洞的发现者没有理由不知道这点。他知道漏洞的危害，甚至可以很容易扫描到有哪些网站会受冲击。作为安全责任最大的一方，他做了一个精美的介绍网站，甚至设计了漏洞的logo，而我们不知道，他是否也用过同样的精力通知那些大网站采取临时措施避免攻击。 再说说国内。 “白帽子”这个称呼是给最有节操的黑客的:以研究为目的，发现漏洞会通报厂商修补，以避免被攻击者利用造成损失。 乌云(wooyun.org)作为中国最大的白帽子漏洞平台，给曾经被黑色产业充斥的国内安全界带来了一抹亮色。在这次事件中，却变成了黑客们秀战果的场所。 网站名，漏洞名俱在，漏洞状态中，很多还是“等待厂商处理”，就这样被公开在乌云上颇有“此地无银三百两”的感觉。本人试着扫描了一个，漏洞还在。这就意味着，无数浏览乌云网的人都可能步其后尘，所谓的漏洞报告反而让网站成了聚光灯下的猎物。 如下面这张图，不用说你就知道是哪个网站被搞啦。(时至发稿，已经修补) 节操呢? 最后，阴谋论一下。 程序员有一句名言:It’s not a bug. It’s a feature. -这不是bug，是功能。 而这句话的黑客版是:It’s not a vulnerability. It’s a backdoor. -这不是漏洞，是后门。 作者天放来自 Trustlook，一家来自硅谷的移动安全创业公司 关注 互联网的一些事 官方微信，回复" 16736 " 即可在微信里阅读本篇内容。 在查找公众号中搜索:imyixieshi，或者扫描下方二维码快速关注。