写在互联网“流血事件”48小时后

关于漏洞

笔者是48小时前在硅谷著名的科技八卦新闻集散地”Y Combinator黑客新闻”上看到这个漏洞的。研究了细节后，发现它确实是前无古人，如同笔者在另一篇文章里提到的：以前房子塌了都是因为建筑本身是豆腐渣工程，而这次我们知道原来脚下的地球也可能是豆腐渣工程，没事会给你来个大地震。

之所以安全界人士不吝自己的夸张之词来形容这个漏洞，是因为：

1 影响范围巨大 – 仅仅是受影响的Nginx和Apache就占据了web server 70%以上的市场。

2 易于利用 – 随机获取用户信息，是攻击的第一步，也几乎是最后一步。只要有攻击工具，无需任何专业知识就可以完成。

3 难于检测 – 攻击所用的心跳包并非是完整的HTTP会话，不会在web server留下日志。

唯一的幸运是，这个漏洞难以让攻击者精确瞄准指定用户，除非能提前获知目标访问的确切时间。攻击的效果就如同对着人群乱开枪。

从微博上得知绿盟和知道创宇等安全公司的大牛们昨夜都是彻夜未眠，幕后还有更多的无名黑客在抓紧一年没几次的机会多刷点库。如同每次大的漏洞爆发事件一样，安全人员累觉不爱，小黑客们喜大普奔。

一个漏洞的公开之日就是死亡倒计时的开始。如以前所有的漏洞事件一样，在它被慢慢补上并淡出人们视线之前，黑客和安全人员都在抓紧最后的时间进行赛跑。

北京时间前天晚上，一条大鱼出现，Yahoo邮箱服务器被证实有漏洞，凌晨时发现已被修补，其间不知有多少邮箱躺枪了。而还存在一种更可怕的可能：从泄露出的内存数据，有可能还原出SSL证书的私钥（虽然目前还没有人证实能做到这一点），这意味着在他们在付出较大代价得到新签发的证书之前，Yahoo网站的SSL加密将失去意义。通俗的说，你将永远不知道提交给Yahoo的密码有没有在传输中被人截获，甚至无法得知正在访问的那个网站是不是Yahoo真身。

笔者也认为，这种时候就算关闭SSL服务也好过放在那让人攻击，Yahoo这树太大了，多拖一分钟都很危险。

也许，这个操心是多余的。一般漏洞在公开之前都会有一段地下流传期，有的漏洞在公开前甚至被地下用过一年。这个漏洞又被用过多久？有多少账号，甚至证书私钥泄露了？细思极恐。

关于攻击代码

HeartBleed简单的利用手法决定了它可以写脚本来自动化，北京时间昨天凌晨，Mustafa在Github上发布了批量扫描工具，作为目标的1000个大网站中，Yahoo，Sogou等中招。

（编辑：应用网_镇江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!