[[131101]]

今年 3 月，有人在對(duì)網(wǎng)站進(jìn)行加密保護(hù)的程序中發(fā)現(xiàn)了一個(gè)大漏洞 FREAK，而密歇根大學(xué)研究員 Zakir Durumeric 是第一個(gè)知道這一漏洞有多嚴(yán)重的人。通過掃描互聯(lián)網(wǎng)上的所有設(shè)備，他甚至要比最先發(fā)現(xiàn)這一漏洞的人更早知道這一漏洞的全部威力。

掃描顯示，有超過 500 萬個(gè)網(wǎng)站受 FREAK 的影響，包括 FBI、谷歌和蘋果運(yùn)營(yíng)的網(wǎng)站。出現(xiàn)在許多流行網(wǎng)站上的 Facebook 贊按鈕也受到了影響。這就需要在問題公開曝光之前，緊急通知關(guān)鍵公司和組織，還要小心泄密。

FREAK 漏洞可以讓攻擊者破壞網(wǎng)絡(luò)瀏覽器與受影響網(wǎng)站之間的安全連接，訪問兩者之間傳輸?shù)募用軘?shù)據(jù)。這種攻擊的原理是迫使網(wǎng)站使用美國(guó)政府在上世紀(jì) 90 年代規(guī)定的加密形式，而這種加密現(xiàn)在已經(jīng)很脆弱。

一小時(shí)掃描整個(gè)互聯(lián)網(wǎng)

Durumeric 領(lǐng)導(dǎo)密歇根大學(xué)的一隊(duì)研究人員開發(fā)了掃描軟件 ZMap。這一工具能在一個(gè)小時(shí)內(nèi)掃描整個(gè)公共互聯(lián)網(wǎng)，顯示近 40 億在線設(shè)備的信息。掃描結(jié)果能顯示哪些網(wǎng)站無法防御特定漏洞。而在 FREAK 的例子中，掃描是為了在漏洞公開宣布前評(píng)估漏洞的威脅程度。

約翰·霍普金斯大學(xué)助理教授 Matthew Green、微軟的一個(gè)研究團(tuán)隊(duì)、法國(guó)計(jì)算機(jī)科學(xué)與自動(dòng)化研究所，以及馬德里先進(jìn)技術(shù)研究院都就 FREAK 漏洞聯(lián)系了 ZMap 團(tuán)隊(duì)。

Green 表示，掃描結(jié)果能幫助他決定向誰透露消息，確保漏洞公開不會(huì)將大部分互聯(lián)網(wǎng)置于危險(xiǎn)之中。“我們之前都沒有過這么好的數(shù)據(jù)。這些數(shù)據(jù)能告訴我們，哪些網(wǎng)站對(duì)漏洞毫無防范，還可以告訴人們事情究竟有多糟糕。直到 Zakir 做了這次掃描，我才知道事情有多糟”，Green 說道。

Durumeric 及其同事在 2013 年末開發(fā)了 ZMap。在此之前，用軟件掃描互聯(lián)網(wǎng)需要耗時(shí)數(shù)周或數(shù)月。Durumeric 表示：“當(dāng)時(shí)的工具比 ZMap 慢 1000 倍。”

給互聯(lián)網(wǎng)排毒

ZMap 的第一個(gè)高端項(xiàng)目是追蹤“心臟出血”漏洞的影響。研究人員們會(huì)定期掃描未修復(fù)漏洞的系統(tǒng)并發(fā)布一個(gè)受影響網(wǎng)站清單，以及如何修復(fù)漏洞的信息。

Durumeric 稱，此舉是為了迫使公司修復(fù)漏洞。該組織甚至還會(huì)發(fā)送自動(dòng)郵件通知公司，告訴它們?nèi)绾涡迯?fù)漏洞。受控試驗(yàn)顯示，這些通知取得了顯著效果。

該團(tuán)隊(duì)很快就會(huì)對(duì) FREAK 漏洞進(jìn)行類似的通知。他們也在掃描，以追蹤 FREAK 等漏洞得到修復(fù)需要多長(zhǎng)時(shí)間。在“心臟出血”漏洞公開差不多一年后，前 100 萬個(gè)網(wǎng)站中依然有約 1% 沒有修復(fù)該漏洞。

安全公司 Rapid7 首席研究官 HD Moore 表示，這些知名漏洞未得到修復(fù)的主要原因之一是，這些公司沒有意識(shí)到這些漏洞的嚴(yán)重性。Moore 也用 ZMap 來掃描。“大多數(shù)企業(yè)至少對(duì)自己 10% 的公共互聯(lián)網(wǎng)資產(chǎn)完全不知情”，他說道。ZMap 掃描能幫助公司找到?jīng)]有修復(fù)漏洞的基礎(chǔ)設(shè)施。

Moore 在 2012 年時(shí)就開始用自己設(shè)計(jì)的軟件來掃描互聯(lián)網(wǎng)?，F(xiàn)在他在 Rapid7 中運(yùn)營(yíng)著一個(gè)更正式的掃描項(xiàng)目，使用 ZMap 以及公司內(nèi)部開發(fā)的軟件。

Green 表示，谷歌也已經(jīng)開始進(jìn)行互聯(lián)網(wǎng)掃描，結(jié)果將用來讓 Chrome 瀏覽器更安全地訪問存在安全風(fēng)險(xiǎn)的網(wǎng)站。

然而，像 ZMap 這樣的工具沒法發(fā)現(xiàn)所有漏洞。ZMap 能掃描使用 IPv4 協(xié)議的聯(lián)網(wǎng)設(shè)備，但卻沒法覆蓋使用 IPv6 協(xié)議的設(shè)備。ZMap 也無法掃描私密網(wǎng)絡(luò)內(nèi)部，比如企業(yè)內(nèi)網(wǎng)或移動(dòng)網(wǎng)絡(luò)上的設(shè)備。

Green 稱，盡管如此，ZMap 和其他掃描軟件也能大致顯示互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的狀態(tài)。和之前的糟糕狀態(tài)相比，我們正變得越來越好。