| ||||||
技術界在討論開源閉源之爭,用戶關心的則是中國互聯網界落後的應急能力◎ 財新記者 屈運栩 沈大園 李小曉 田淑娟 文一場被稱為 「心臟出血」的互聯網安全事件本週席捲全球,世界範圍內的眾多互聯網公司因為使用了 OpenSSL 這一基礎安全協議套件而不得不徹夜升級,和黑客們爭分奪秒。 4月8日晚間,OpenSSL 存在嚴重漏洞的消息在中國互聯網圈中流傳。穀歌、雅虎、facebook 以及國內的騰訊、阿里巴巴甚至銀行銀聯系統的安全性都受到威脅。技術人士提醒:用戶的賬戶密碼信息可能被盜用。 和黑客、白帽子(公佈漏洞,但不會攻擊的黑客)的激動相比,國內互聯網公司出奇冷靜,針對媒體關切給出的都是簡單回複:已經升級補丁。但多位採訪對象透露:這一次漏洞其實一週前就已在國外的技術小圈子裡流傳,直到4月8日確定並發佈了補丁,國內一眾互聯網企業方才知曉——這中間理論上存在黑客已經獲取中國互聯網用戶資料的可能性。一些企業甚至拖到4月9日才開始升級,考慮到升級需要一定時間,黑客仍有可能利用這個空檔攻擊漏洞。 漏洞爆出至今,還沒有哪家互聯網公司承認遭到攻擊,出現信息洩露。 「心臟出血」有驚無險,但中國企業在建立互聯網安全防護機制流程,如何系統保護用戶信息安全尤其是財務安全等各個方面,要走的路還很長。 何為 「心臟出血」 SSL(Secure Sockets Layer,安全套接層) ,是為網絡通信提供安全及數據完整性的一種安全協議。奇虎360副總裁譚曉生對財新記者解釋稱,安全協議如同電話線之間傳輸的信息加密,如果有第三者搭一根電話線接入,也只能聽到噪音。使用了SSL協議,則是在服務器和用戶的數據傳輸中使用了加密,通常使用SSL協議加密的網址開頭是 https。 這次被發現漏洞的 OpenSSL,是一個基於 SSL協議的安全協議套件,或者說軟件包。 「成熟」 「完備」 「頂級」是多位業內專家對 OpenSSL 套件的形容。OpenSSL 開放源代碼同時支持Linux、Windows、BSD、Mac、VMS 等平台,該安全協議套件一直受到互聯網業追捧。 「就相當於有人利用生產汽車的方法,生產了免費的性能良好的汽車,並且可以到處開。 」譚曉生比喻道。 實際上,全球95% 的互聯網公司不同程度的使用 OpenSSL。然而,正是這樣一款 「美妙」 的套件被發現了漏洞。 「心臟出血」 (Heartbleed)漏洞由一個芬蘭研究小組和穀歌公司的研究者在此前一週發現,後被證實在 OpenSSL 1.0.1f 和OpenSSL 1.0.2-beta兩個版本中存在。而這兩個版本從2011年發佈至今已經使用了三年之久。 「由於是心跳包的漏洞引起的數據洩露,並且這個漏洞是如此的嚴重,所以形象地稱之為『心臟出血』 。 」一位國內頂級白帽子團隊成員告訴財新記者,漏洞被稱為 「心臟出血」 ,另一原因是病灶就在 「心跳包」 (heartbeat) 。 他解釋稱,心跳包是在客戶端和服務器間定時發送的數據包,以通知對方自己狀態,數據包按一定時間間隔發送,類似於心跳,所以叫做心跳包。通常情況下數據包的長度應根據包的實際長度計算出來的,而不是用戶隨便定義的。但漏洞在於,這個包的長度恰恰可以由用戶自己定義,最長為65535字節,即64K。而根據程序,服務端回應的數據長度是依據用戶的聲明而不是實際的數據長度。所以當客戶端實際發送的是0字節的包,卻聲明這個包長達64K 時,根據回應的要求,服務端就會把內存中正在運行的64K數據回複給用戶。 埃森哲北京技術研究院院長劉東告訴財新記者: 「如果只是獲取64K 數據,那並不危險;但通過多次訪問,能夠獲取不同的64K 數據,就意味著用戶的登錄用戶名和密碼等信息存在洩露可能。 」「心臟出血」的嚴重性在於其波及範圍。根據國內安全廠商北京知道創宇信息技術有限公司(下稱知道創宇)用搜索引擎ZoomEye對全球開放443端口的353萬個服務器主機進行全方位的深度探測,發現存在漏洞的服務主機高達71萬個。內地網站,包括 APP 應用幾乎全部受到影響。 漏洞原理並不太複雜,補丁也簡單。前述國內頂級白帽子團隊成員稱,補丁只是強調了不接受長度為零的心跳包;並且檢測其他有長度的心跳包,保證其長度足夠,否則將被棄置,由此就能杜絕漏洞。 綠盟科技安全研究部高級研究員於晹則向財新記者強調,漏洞既影響服務器,也影響客戶端,但對服務器的影響更為巨大。他指出,對單台普通服務器來說,升級很簡單,敲幾行命令就完成了。但對擁有成千上萬台服務器、體系環境極其複雜的大型互聯網企業,這個過程要麻煩得多。 「他們的系統和軟件可能都是自己開發的,有些可能還把OpenSSL 庫靜 態編譯進了應用,這就需要重新編譯整個應用。然後可能還要做上線前的全套測試。 」於晹說。 補漏大戰 「很多企業的安全工作人員都為此加班加點,儘可能早地完成升級。 」於晹透露,但可能由於對該漏洞的認識不足,也有部分大型網站甚至直到第二天(4月9日)才著手升級。 譚曉生告訴記者,360有一個漏洞檢索機制,4月8日上午10點28分抓取到了該漏洞信息,立即開始自我評估,搜索公司有哪些服務器使用了 OpenSSL 協議,最後獲得了一個服務器列表,一共有100-200台服務器受到影響,然後立刻要求服務器團隊開始修復,整個修復過程持續到4月9日凌晨5點多。 阿里小微方面也於4月8日通宵工作修復漏洞。 「完全修復了 OpenSSL出現漏洞後的安全信息問題,並重新回顧了這個時間點支付寶加密機制是否存在問題,沒有發現任何問題。 」阿里小微金融服務集團首席風險官、阿里巴巴集團副總裁胡曉明對財新記者稱。 到4月9日,騰訊、阿里巴巴分別發表聲明,稱已在第一時間對 OpenSSL 某些存在基礎協議通用漏洞的版本進行了修復處理,目前已經處理完畢,騰訊 包括郵箱、財付通、QQ、微信等產品和網站,阿里包括淘寶、天貓、支付寶等各網站都確認可以放心使用。而百度則稱沒有受到這次漏洞的影響。 知道創宇掃瞄的結果則顯示,截至4月9日下午16點,12306、支付寶、淘寶網、微信公眾號、微信網頁版、360 應用、陌陌、雅虎、比特幣中國等眾多網站已經完成漏洞的修復,但是 YY 旗下某項服務、中國電信的漏洞依然存在。 譚曉生告訴財新記者,世界範圍內 開源協議出現漏洞後的基本處理流程是,發現漏洞後首先通知開發者,而不是對外公佈,為開發者開發補丁爭取時間;如果開發者沒有回應或能力不足,則通過眾包平台獲得技術支持——然而這也就意味著漏洞同時暴露給了黑客。 更重要的是,由於用戶無法獲知自己信息遭洩露,如果網站沒有實時監控服務器,也很有可能未發現來自黑客的多次攻擊。 「網絡世界也有正義和邪惡勢力,一旦漏洞暴露,那就是兩個勢力較量的時刻,大家都是爭分奪秒。 」劉東稱。在他看來,除了補漏者和攻擊者的競賽,處理漏洞的應急能力才考驗大公司,升級只是最簡單的處理方式。劉東介紹,美國一些銀行為了預防黑客,在各個不同的銀行間建立起了信息共享的系統。一旦一個銀行受到攻擊,其他銀行就可以馬上獲得攻擊者的IP 地址,從而預防黑客侵襲。 更安全的技術? 對於互聯網業界而言, 「心臟出血」事件暴露出行業對開源的怕與愛。一方面,類似 OpenSSL 這樣的開源組件因為使用門檻低等優點而廣受青睞,成為事實上的標準;但另一方面,開源軟件因為人人可看源代碼而容易改進的同時,也天然帶來「人人都沒穿內褲」的窘境,一旦某個版本出現問題,那麼所有採用的企業都會遇到麻煩。 在互聯網行業,開源與閉源之爭由來已久。一般而言,初創公司基本上可以借助大量開源軟件快速提供服務,而大型互聯網公司則會自行開發某些組件而不對外開放。但也無法一刀切,譬如Google既是開源軟件運動的巨擘,同時他也嚴格對外保密核心技術。在手機系統領域,Google就扮演了一個開源領袖的角色,Android 這一系統方案即是由Google收購一家閉源軟件廠商之後,再組建一個全球開源聯盟,聯合各方一起推動。 在大規模計算領域,Google 相當注重保密性。Yahoo 受到 Google 公佈的三篇關於計算的簡單論文啟發,開發出 Hadoop 系統,隨後 Yahoo 預感難以獨自趕超 Google 的技術方案而選擇 將 Hadoop 開源,吸引了大量互聯網企業在基於 Hadoop 系統之上進行改進,使之成為全球最受歡迎的開源系統之一。Hadoop 實際在某種程度上就是對Google閉源系統的一次 「集體山寨」 。 開源之外,硬件SSL成為另一關注點。部分企業聲稱自己使用硬件 SSL,因此比 OpenSSL 更加安全。譚曉生對此並不贊同,他認為,企業使用硬件SSL 最直接的好處是速度加快了,即服務器可同時處理大量的用戶訪問,就安全性而言並不比軟件SSL更好。 更安全的技術存在嗎?業內專家面對這些基本問題時有著冒險主義者的樂觀態度: 「互聯網世界並沒有所謂絕對安全的技術,bug 無處不在,但要相信正義總能戰勝邪惡。 」只是,開始習慣網上消費的消費者不敢如此樂觀。 | ||||||