写在互联网“心脏出血漏洞事件”48小时后 阴谋论出现

关于HeartBleed漏洞的原理，另一篇文章已经讲得很清楚了。本文以讲故事为主。

关于漏洞

笔者是48小时前在硅谷著名的科技八卦新闻集散地”Y Combinator黑客新闻”上看到这个漏洞的。研究了细节后，发现它确实是前无古人，如同笔者在另一篇文章里提到的：以前房子塌了都是因为建筑本身是豆腐渣工程，而这次我们知道原来脚下的地球也可能是豆腐渣工程，没事会给你来个大地震。

之所以安全界人士不吝自己的夸张之词来形容这个漏洞，是因为：

1 影响范围巨大 – 仅仅是受影响的Nginx和Apache就占据了web server 70%以上的市场。

2 易于利用 – 随机获取用户信息，是攻击的第一步，也几乎是最后一步。只要有攻击工具，无需任何专业知识就可以完成。

3 难于检测 – 攻击所用的心跳包并非是完整的HTTP会话，不会在web server留下日志。

唯一的幸运是，这个漏洞难以让攻击者精确瞄准指定用户，除非能提前获知目标访问的确切时间。攻击的效果就如同对着人群乱开枪。

从微博上得知绿盟和知道创宇等安全公司的大牛们昨夜都是彻夜未眠，幕后还有更多的无名黑客在抓紧一年没几次的机会多刷点库。如同每次大的漏洞爆发事件一样，安全人员累觉不爱，小黑客们喜大普奔。

一个漏洞的公开之日就是死亡倒计时的开始。如以前所有的漏洞事件一样，在它被慢慢补上并淡出人们视线之前，黑客和安全人员都在抓紧最后的时间进行赛跑。

北京时间前天晚上，一条大鱼出现，Yahoo邮箱服务器被证实有漏洞，凌晨时发现已被修补，其间不知有多少邮箱躺枪了。而还存在一种更可怕的可能：从泄露出的内存数据，有可能还原出SSL证书的私钥（虽然目前还没有人证实能做到这一点），这意味着在他们在付出较大代价得到新签发的证书之前，Yahoo网站的SSL加密将失去意义。通俗的说，你将永远不知道提交给Yahoo的密码有没有在传输中被人截获，甚至无法得知正在访问的那个网站是不是Yahoo真身。

笔者也认为，这种时候就算关闭SSL服务也好过放在那让人攻击，Yahoo这树太大了，多拖一分钟都很危险。

也许，这个操心是多余的。一般漏洞在公开之前都会有一段地下流传期，有的漏洞在公开前甚至被地下用过一年。这个漏洞又被用过多久？有多少账号，甚至证书私钥泄露了？细思极恐。

关于攻击代码

HeartBleed简单的利用手法决定了它可以写脚本来自动化，北京时间昨天凌晨，Mustafa在Github上发布了批量扫描工具，作为目标的1000个大网站中，Yahoo，Sogou等中招。

随即是更大规模的扫描，截止到昨天凌晨，Alexa前10000的网站中，1300余个中招。国内的360等安全公司也开始推出自己的检测工具。

群里有人开始求工具，随即发现攻击代码（也叫exploit）已经公布在了著名的exploit发布网站exploit-db上：

又过了24小时，针对FTP, SMTP和POP3协议的攻击代码也出现了（OpenSSL是一个底层架构，并非只用于HTTP）。攻击代码的放出，意味着“脚本小子”们开始加入这场party，攻击行为的规模会迅速扩大，任何网站都不应该有侥幸心理。

这个漏洞从知晓原理到写出攻击代码，是有一定门槛的。只有少数人懂得利用原理的漏洞也许难以造成大的破坏，但傻瓜化利用工具的大量流传却可以做到。如同《命令与征服：将军》游戏里那句著名的呐喊：”AK-47s, for EVERYONE!”