“有可能導(dǎo)致網(wǎng)絡(luò)大混亂么����?”反復(fù)修改了自己的問題之后,我點(diǎn)擊了“發(fā)送”���。
片刻后�����,對話框里跳出一句回復(fù)“現(xiàn)在已經(jīng)亂了����?����!?
之后��,是長久的寂靜�。
顯然,網(wǎng)絡(luò)對面那位頂級白帽(指以善意方式使用自身技術(shù)的黑客)�����,已經(jīng)顧不上搭理我——在這個(gè)不眠之夜,Ta還有太多的事情要做���。
這一天��,互聯(lián)網(wǎng)世界發(fā)生了兩件大事:一�����、微軟正式宣布XP停止服務(wù)退役�����;第二件,OpenSSL的大漏洞曝光��。
很多普通人更關(guān)心第一件事�����,因?yàn)榕c自己切身相關(guān)����。
但事實(shí)上,第二件事��,才是真正的大事件。
這個(gè)漏洞影響了多少網(wǎng)站����,這個(gè)數(shù)字仍在評估當(dāng)中,但放眼放去�����,我們經(jīng)常訪問的支付寶�、淘寶、微信公眾號����、YY語音、陌陌�、雅虎郵件、網(wǎng)銀���、門戶等各種網(wǎng)站����,基本上都出了問題�。
而在國外,受到波及的網(wǎng)站也數(shù)不勝數(shù),就連大名鼎鼎的NASA(美國航空航天局)也已宣布����,用戶數(shù)據(jù)庫遭泄露。
這個(gè)漏洞被曝光的黑客命名為“heartbleed”�����,意思是“心臟出血”——代表著最致命的內(nèi)傷���。
這是一個(gè)極為貼近的表述�。
如果用專業(yè)的表述����,OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議,它通過一種開放源代碼的SSL協(xié)議����,實(shí)現(xiàn)網(wǎng)絡(luò)通信的高強(qiáng)度加密��。
這也就是說��,OpenSSL的存在��,就是一個(gè)多用途的、跨平臺的安全工具��,由于它非常安全�,所以被廣泛地用于各種網(wǎng)絡(luò)應(yīng)用程序中。
但現(xiàn)在����,OpenSSL自己出現(xiàn)了漏洞,而且是非常高危脅的漏洞���。利用這個(gè)漏洞����,黑客可以輕松獲得用戶的cookie�,甚至明文的帳號和密碼。
這就像什么呢�?你背靠著城墻與敵人戰(zhàn)斗,突然�����,墻垮了����。
于是����,一場瘋狂的競速開始���。
網(wǎng)站們開始緊急預(yù)警和修復(fù)升級��,安全公司和白帽們忙著測試漏洞影響并進(jìn)行擴(kuò)展推衍����,而更多的黑客們���,則抓緊時(shí)間開始狂歡:
懂技術(shù)的人�,深入地把玩這個(gè)漏洞��,以它為武器���,向自己久攻不下的網(wǎng)站發(fā)起攻擊���;不懂技術(shù)的小黑客們�����,也如同大戰(zhàn)場邊緣的游勇,利用漏洞四下劫掠�����。
這是一個(gè)不眠之夜——除了大批仍茫不知情的網(wǎng)民��。
面對危機(jī)��,網(wǎng)站們策略不一����,有的緊急升級OpenSSL;有的暫停了服務(wù)����;有的服務(wù)還在,但暫停了SSL加密�;當(dāng)然,還有的在睡大覺……
希望他們早上起來以后�,還能保持自己放松的心情。
事實(shí)上�,就漏洞本身來說,現(xiàn)在黑客們爭奪的就是時(shí)間��,一旦主要的網(wǎng)站們完成漏洞修復(fù)��,這一波地震就能算是過去,大家自然回歸常態(tài)�����,該網(wǎng)購的網(wǎng)購����,該玩的玩。
不過����,值得注意的是,由于OpenSSL應(yīng)用非常廣泛�,所以相對網(wǎng)站等表面上的應(yīng)用,它在各種客戶端�、VPN、WAF等其他領(lǐng)域�,也將帶來更加隱蔽的風(fēng)險(xiǎn),并將持續(xù)一段時(shí)間�。
而對整個(gè)互聯(lián)網(wǎng)產(chǎn)業(yè)來說,這個(gè)事件更大的一個(gè)意義���,在于讓所有人重新回過頭來反思:
當(dāng)我們認(rèn)為安全的一切���,都突然變得不安全,我們又將如何維持這個(gè)虛擬世界的存續(xù)與穩(wěn)定�����?
如果���,這個(gè)事件能夠改變環(huán)境�,讓因?yàn)椴皇苤匾?����,缺乏商業(yè)輸血����,長期處于孱弱狀態(tài)的中國網(wǎng)絡(luò)安全產(chǎn)業(yè)獲得新的生機(jī),或許�,也能算是塞翁失馬,終有所得��。
