“有可能導致網絡大混亂么?”反復修改了自己的問題之后�,我點擊了“發送”。
片刻后�,對話框里跳出一句回復“現在已經亂了�!
之后,是長久的寂靜�。
顯然�,網絡對面那位頂級白帽(指以善意方式使用自身技術的黑客)�,已經顧不上搭理我——在這個不眠之夜,Ta還有太多的事情要做�。
這一天,互聯網世界發生了兩件大事:一�、微軟正式宣布XP停止服務退役;第二件�,OpenSSL的大漏洞曝光。
很多普通人更關心第一件事�,因為與自己切身相關。
但事實上�,第二件事,才是真正的大事件�。
這個漏洞影響了多少網站,這個數字仍在評估當中�,但放眼放去,我們經常訪問的支付寶�、淘寶、微信公眾號�、YY語音、陌陌�、雅虎郵件、網銀�、門戶等各種網站,基本上都出了問題。
而在國外�,受到波及的網站也數不勝數,就連大名鼎鼎的NASA(美國航空航天局)也已宣布�,用戶數據庫遭泄露。
這個漏洞被曝光的黑客命名為“heartbleed”�,意思是“心臟出血”——代表著最致命的內傷�。
這是一個極為貼近的表述。
如果用專業的表述�,OpenSSL是為網絡通信提供安全及數據完整性的一種安全協議,它通過一種開放源代碼的SSL協議�,實現網絡通信的高強度加密。
這也就是說�,OpenSSL的存在,就是一個多用途的�、跨平臺的安全工具,由于它非常安全�,所以被廣泛地用于各種網絡應用程序中。
但現在�,OpenSSL自己出現了漏洞,而且是非常高危脅的漏洞�。利用這個漏洞�,黑客可以輕松獲得用戶的cookie,甚至明文的帳號和密碼�。
這就像什么呢?你背靠著城墻與敵人戰斗,突然�,墻垮了。
于是�,一場瘋狂的競速開始。
網站們開始緊急預警和修復升級�,安全公司和白帽們忙著測試漏洞影響并進行擴展推衍,而更多的黑客們�,則抓緊時間開始狂歡:
懂技術的人,深入地把玩這個漏洞�,以它為武器,向自己久攻不下的網站發起攻擊�;不懂技術的小黑客們,也如同大戰場邊緣的游勇�,利用漏洞四下劫掠。
這是一個不眠之夜——除了大批仍茫不知情的網民�。
面對危機,網站們策略不一�,有的緊急升級OpenSSL;有的暫停了服務�;有的服務還在,但暫停了SSL加密�;當然,還有的在睡大覺……
希望他們早上起來以后�,還能保持自己放松的心情。
事實上�,就漏洞本身來說�,現在黑客們爭奪的就是時間�,一旦主要的網站們完成漏洞修復,這一波地震就能算是過去�,大家自然回歸常態,該網購的網購�,該玩的玩。
不過�,值得注意的是,由于OpenSSL應用非常廣泛�,所以相對網站等表面上的應用,它在各種客戶端�、VPN、WAF等其他領域�,也將帶來更加隱蔽的風險,并將持續一段時間�。
而對整個互聯網產業來說,這個事件更大的一個意義�,在于讓所有人重新回過頭來反思:
當我們認為安全的一切,都突然變得不安全�,我們又將如何維持這個虛擬世界的存續與穩定?
如果�,這個事件能夠改變環境,讓因為不受重視�,缺乏商業輸血,長期處于孱弱狀態的中國網絡安全產業獲得新的生機�,或許�,也能算是塞翁失馬�,終有所得�。
