“有可能導致網絡大混亂么�?”反復修改了自己的問題之后,我點擊了“發(fā)送”�。
片刻后,對話框里跳出一句回復“現(xiàn)在已經亂了��?!?
之后���,是長久的寂靜��。
顯然����,網絡對面那位頂級白帽(指以善意方式使用自身技術的黑客),已經顧不上搭理我——在這個不眠之夜���,Ta還有太多的事情要做�����。
這一天��,互聯(lián)網世界發(fā)生了兩件大事:一�����、微軟正式宣布XP停止服務退役���;第二件,OpenSSL的大漏洞曝光�����。
很多普通人更關心第一件事,因為與自己切身相關��。
但事實上��,第二件事��,才是真正的大事件����。
這個漏洞影響了多少網站,這個數字仍在評估當中����,但放眼放去,我們經常訪問的支付寶��、淘寶�����、微信公眾號��、YY語音、陌陌�、雅虎郵件、網銀�����、門戶等各種網站����,基本上都出了問題��。
而在國外��,受到波及的網站也數不勝數���,就連大名鼎鼎的NASA(美國航空航天局)也已宣布��,用戶數據庫遭泄露��。
這個漏洞被曝光的黑客命名為“heartbleed”��,意思是“心臟出血”——代表著最致命的內傷����。
這是一個極為貼近的表述���。
如果用專業(yè)的表述�,OpenSSL是為網絡通信提供安全及數據完整性的一種安全協(xié)議,它通過一種開放源代碼的SSL協(xié)議�,實現(xiàn)網絡通信的高強度加密。
這也就是說��,OpenSSL的存在�����,就是一個多用途的�����、跨平臺的安全工具����,由于它非常安全,所以被廣泛地用于各種網絡應用程序中����。
但現(xiàn)在,OpenSSL自己出現(xiàn)了漏洞����,而且是非常高危脅的漏洞����。利用這個漏洞����,黑客可以輕松獲得用戶的cookie,甚至明文的帳號和密碼�����。
這就像什么呢����?你背靠著城墻與敵人戰(zhàn)斗���,突然���,墻垮了。
于是���,一場瘋狂的競速開始���。
網站們開始緊急預警和修復升級�����,安全公司和白帽們忙著測試漏洞影響并進行擴展推衍�,而更多的黑客們�,則抓緊時間開始狂歡:
懂技術的人,深入地把玩這個漏洞�����,以它為武器���,向自己久攻不下的網站發(fā)起攻擊�����;不懂技術的小黑客們�����,也如同大戰(zhàn)場邊緣的游勇���,利用漏洞四下劫掠���。
這是一個不眠之夜——除了大批仍茫不知情的網民。
面對危機���,網站們策略不一�����,有的緊急升級OpenSSL���;有的暫停了服務;有的服務還在�,但暫停了SSL加密;當然����,還有的在睡大覺……
希望他們早上起來以后��,還能保持自己放松的心情�����。
事實上�,就漏洞本身來說�����,現(xiàn)在黑客們爭奪的就是時間���,一旦主要的網站們完成漏洞修復,這一波地震就能算是過去�����,大家自然回歸常態(tài)����,該網購的網購,該玩的玩����。
不過,值得注意的是�����,由于OpenSSL應用非常廣泛�����,所以相對網站等表面上的應用,它在各種客戶端����、VPN、WAF等其他領域�,也將帶來更加隱蔽的風險,并將持續(xù)一段時間����。
而對整個互聯(lián)網產業(yè)來說,這個事件更大的一個意義�����,在于讓所有人重新回過頭來反思:
當我們認為安全的一切����,都突然變得不安全,我們又將如何維持這個虛擬世界的存續(xù)與穩(wěn)定��?
如果����,這個事件能夠改變環(huán)境����,讓因為不受重視��,缺乏商業(yè)輸血�����,長期處于孱弱狀態(tài)的中國網絡安全產業(yè)獲得新的生機���,或許,也能算是塞翁失馬�,終有所得。
