“有可能導致網絡大混亂么?”反復修改了自己的問題之后,我點擊了“發送”。
片刻后,對話框里跳出一句回復“現在已經亂了。”
之后,是長久的寂靜。
顯然,網絡對面那位頂級白帽(指以善意方式使用自身技術的黑客),已經顧不上搭理我——在這個不眠之夜,Ta還有太多的事情要做。
這一天,互聯網世界發生了兩件大事:一、微軟正式宣布XP停止服務退役;第二件,OpenSSL的大漏洞曝光。
很多普通人更關心第一件事,因為與自己切身相關。
但事實上,第二件事,才是真正的大事件。
這個漏洞影響了多少網站,這個數字仍在評估當中,但放眼放去,我們經常訪問的支付寶、淘寶、微信公眾號、YY語音、陌陌、雅虎郵件、網銀、門戶等各種網站,基本上都出了問題。
而在國外,受到波及的網站也數不勝數,就連大名鼎鼎的NASA(美國航空航天局)也已宣布,用戶數據庫遭泄露。
這是一個極為貼近的表述。
如果用專業的表述,OpenSSL是為網絡通信提供安全及數據完整性的一種安全協議,它通過一種開放源代碼的SSL協議,實現網絡通信的高強度加密。
這也就是說,OpenSSL的存在,就是一個多用途的、跨平臺的安全工具,由于它非常安全,所以被廣泛地用于各種網絡應用程序中。
但現在,OpenSSL自己出現了漏洞,而且是非常高危脅的漏洞。利用這個漏洞,黑客可以輕松獲得用戶的cookie,甚至明文的帳號和密碼。
于是,一場瘋狂的競速開始。
網站們開始緊急預警和修復升級,安全公司和白帽們忙著測試漏洞影響并進行擴展推衍,而更多的黑客們,則抓緊時間開始狂歡:
懂技術的人,深入地把玩這個漏洞,以它為武器,向自己久攻不下的網站發起攻擊;不懂技術的小黑客們,也如同大戰場邊緣的游勇,利用漏洞四下劫掠。
面對危機,網站們策略不一,有的緊急升級OpenSSL;有的暫停了服務;有的服務還在,但暫停了SSL加密;當然,還有的在睡大覺……
希望他們早上起來以后,還能保持自己放松的心情。
事實上,就漏洞本身來說,現在黑客們爭奪的就是時間,一旦主要的網站們完成漏洞修復,這一波地震就能算是過去,大家自然回歸常態,該網購的網購,該玩的玩。
不過,值得注意的是,由于OpenSSL應用非常廣泛,所以相對網站等表面上的應用,它在各種客戶端、VPN、WAF等其他領域,也將帶來更加隱蔽的風險,并將持續一段時間。
而對整個互聯網產業來說,這個事件更大的一個意義,在于讓所有人重新回過頭來反思:
當我們認為安全的一切,都突然變得不安全,我們又將如何維持這個虛擬世界的存續與穩定?
如果,這個事件能夠改變環境,讓因為不受重視,缺乏商業輸血,長期處于孱弱狀態的中國網絡安全產業獲得新的生機,或許,也能算是塞翁失馬,終有所得。
主站蜘蛛池模板: