“有可能導(dǎo)致網(wǎng)絡(luò)大混亂么?”反復(fù)修改了自己的問(wèn)題之后,我點(diǎn)擊了“發(fā)送”。
片刻后,對(duì)話(huà)框里跳出一句回復(fù)“現(xiàn)在已經(jīng)亂了。”
之后,是長(zhǎng)久的寂靜。
顯然,網(wǎng)絡(luò)對(duì)面那位頂級(jí)白帽(指以善意方式使用自身技術(shù)的黑客),已經(jīng)顧不上搭理我——在這個(gè)不眠之夜,Ta還有太多的事情要做。
這一天,互聯(lián)網(wǎng)世界發(fā)生了兩件大事:一、微軟正式宣布XP停止服務(wù)退役;第二件,OpenSSL的大漏洞曝光。
很多普通人更關(guān)心第一件事,因?yàn)榕c自己切身相關(guān)。
但事實(shí)上,第二件事,才是真正的大事件。
這個(gè)漏洞影響了多少網(wǎng)站,這個(gè)數(shù)字仍在評(píng)估當(dāng)中,但放眼放去,我們經(jīng)常訪(fǎng)問(wèn)的支付寶、淘寶、微信公眾號(hào)、YY語(yǔ)音、陌陌、雅虎郵件、網(wǎng)銀、門(mén)戶(hù)等各種網(wǎng)站,基本上都出了問(wèn)題。
而在國(guó)外,受到波及的網(wǎng)站也數(shù)不勝數(shù),就連大名鼎鼎的NASA(美國(guó)航空航天局)也已宣布,用戶(hù)數(shù)據(jù)庫(kù)遭泄露。
這是一個(gè)極為貼近的表述。
如果用專(zhuān)業(yè)的表述,OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議,它通過(guò)一種開(kāi)放源代碼的SSL協(xié)議,實(shí)現(xiàn)網(wǎng)絡(luò)通信的高強(qiáng)度加密。
這也就是說(shuō),OpenSSL的存在,就是一個(gè)多用途的、跨平臺(tái)的安全工具,由于它非常安全,所以被廣泛地用于各種網(wǎng)絡(luò)應(yīng)用程序中。
但現(xiàn)在,OpenSSL自己出現(xiàn)了漏洞,而且是非常高危脅的漏洞。利用這個(gè)漏洞,黑客可以輕松獲得用戶(hù)的cookie,甚至明文的帳號(hào)和密碼。
于是,一場(chǎng)瘋狂的競(jìng)速開(kāi)始。
網(wǎng)站們開(kāi)始緊急預(yù)警和修復(fù)升級(jí),安全公司和白帽們忙著測(cè)試漏洞影響并進(jìn)行擴(kuò)展推衍,而更多的黑客們,則抓緊時(shí)間開(kāi)始狂歡:
懂技術(shù)的人,深入地把玩這個(gè)漏洞,以它為武器,向自己久攻不下的網(wǎng)站發(fā)起攻擊;不懂技術(shù)的小黑客們,也如同大戰(zhàn)場(chǎng)邊緣的游勇,利用漏洞四下劫掠。
面對(duì)危機(jī),網(wǎng)站們策略不一,有的緊急升級(jí)OpenSSL;有的暫停了服務(wù);有的服務(wù)還在,但暫停了SSL加密;當(dāng)然,還有的在睡大覺(jué)……
希望他們?cè)缟掀饋?lái)以后,還能保持自己放松的心情。
事實(shí)上,就漏洞本身來(lái)說(shuō),現(xiàn)在黑客們爭(zhēng)奪的就是時(shí)間,一旦主要的網(wǎng)站們完成漏洞修復(fù),這一波地震就能算是過(guò)去,大家自然回歸常態(tài),該網(wǎng)購(gòu)的網(wǎng)購(gòu),該玩的玩。
不過(guò),值得注意的是,由于OpenSSL應(yīng)用非常廣泛,所以相對(duì)網(wǎng)站等表面上的應(yīng)用,它在各種客戶(hù)端、VPN、WAF等其他領(lǐng)域,也將帶來(lái)更加隱蔽的風(fēng)險(xiǎn),并將持續(xù)一段時(shí)間。
而對(duì)整個(gè)互聯(lián)網(wǎng)產(chǎn)業(yè)來(lái)說(shuō),這個(gè)事件更大的一個(gè)意義,在于讓所有人重新回過(guò)頭來(lái)反思:
當(dāng)我們認(rèn)為安全的一切,都突然變得不安全,我們又將如何維持這個(gè)虛擬世界的存續(xù)與穩(wěn)定?
如果,這個(gè)事件能夠改變環(huán)境,讓因?yàn)椴皇苤匾暎狈ι虡I(yè)輸血,長(zhǎng)期處于孱弱狀態(tài)的中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)獲得新的生機(jī),或許,也能算是塞翁失馬,終有所得。