今年 3 月，有人在對網(wǎng)站進行加密保護的程序中發(fā)現(xiàn)了一個大漏洞 FREAK，而密歇根大學研究員 Zakir Durumeric 是第一個知道這一漏洞有多嚴重的人。通過掃描互聯(lián)網(wǎng)上的所有設(shè)備，他甚至要比最先發(fā)現(xiàn)這一漏洞的人更早知道這一漏洞的全部威力。

掃描顯示，有超過 500 萬個網(wǎng)站受 FREAK 的影響，包括 FBI、谷歌和蘋果運營的網(wǎng)站。出現(xiàn)在許多流行網(wǎng)站上的 Facebook 贊按鈕也受到了影響。這就需要在問題公開曝光之前，緊急通知關(guān)鍵公司和組織，還要小心泄密。

FREAK 漏洞可以讓攻擊者破壞網(wǎng)絡(luò)瀏覽器與受影響網(wǎng)站之間的安全連接，訪問兩者之間傳輸?shù)募用軘?shù)據(jù)。這種攻擊的原理是迫使網(wǎng)站使用美國政府在上世紀 90 年代規(guī)定的加密形式，而這種加密現(xiàn)在已經(jīng)很脆弱。

一小時掃描整個互聯(lián)網(wǎng)

Durumeric 領(lǐng)導密歇根大學的一隊研究人員開發(fā)了掃描軟件 ZMap。這一工具能在一個小時內(nèi)掃描整個公共互聯(lián)網(wǎng)，顯示近 40 億在線設(shè)備的信息。掃描結(jié)果能顯示哪些網(wǎng)站無法防御特定漏洞。而在 FREAK 的例子中，掃描是為了在漏洞公開宣布前評估漏洞的威脅程度。

約翰·霍普金斯大學助理教授 Matthew Green、微軟的一個研究團隊、法國計算機科學與自動化研究所，以及馬德里先進技術(shù)研究院都就 FREAK 漏洞聯(lián)系了 ZMap 團隊。

Green 表示，掃描結(jié)果能幫助他決定向誰透露消息，確保漏洞公開不會將大部分互聯(lián)網(wǎng)置于危險之中。“我們之前都沒有過這么好的數(shù)據(jù)。這些數(shù)據(jù)能告訴我們，哪些網(wǎng)站對漏洞毫無防范，還可以告訴人們事情究竟有多糟糕。直到 Zakir 做了這次掃描，我才知道事情有多糟”，Green 說道。

Durumeric 及其同事在 2013 年末開發(fā)了 ZMap。在此之前，用軟件掃描互聯(lián)網(wǎng)需要耗時數(shù)周或數(shù)月。Durumeric 表示：“當時的工具比 ZMap 慢 1000 倍。”

給互聯(lián)網(wǎng)排毒

ZMap 的第一個高端項目是追蹤“心臟出血”漏洞的影響。研究人員們會定期掃描未修復漏洞的系統(tǒng)并發(fā)布一個受影響網(wǎng)站清單，以及如何修復漏洞的信息。

Durumeric 稱，此舉是為了迫使公司修復漏洞。該組織甚至還會發(fā)送自動郵件通知公司，告訴它們?nèi)绾涡迯吐┒?。受控試驗顯示，這些通知取得了顯著效果。

該團隊很快就會對 FREAK 漏洞進行類似的通知。他們也在掃描，以追蹤 FREAK 等漏洞得到修復需要多長時間。在“心臟出血”漏洞公開差不多一年后，前 100 萬個網(wǎng)站中依然有約 1% 沒有修復該漏洞。

安全公司 Rapid7 首席研究官 HD Moore 表示，這些知名漏洞未得到修復的主要原因之一是，這些公司沒有意識到這些漏洞的嚴重性。Moore 也用 ZMap 來掃描。“大多數(shù)企業(yè)至少對自己 10% 的公共互聯(lián)網(wǎng)資產(chǎn)完全不知情”，他說道。ZMap 掃描能幫助公司找到?jīng)]有修復漏洞的基礎(chǔ)設(shè)施。

Moore 在 2012 年時就開始用自己設(shè)計的軟件來掃描互聯(lián)網(wǎng)?，F(xiàn)在他在 Rapid7 中運營著一個更證實的掃描項目，使用 ZMap 以及公司內(nèi)部開發(fā)的軟件。

Green 表示，谷歌也已經(jīng)開始進行互聯(lián)網(wǎng)掃描，結(jié)果將用來讓 Chrome 瀏覽器更安全地訪問存在安全風險的網(wǎng)站。

然而，像 ZMap 這樣的工具沒法發(fā)現(xiàn)所有漏洞。ZMap 能掃描使用 IPv4 協(xié)議的聯(lián)網(wǎng)設(shè)備，但卻沒法覆蓋使用 IPv6 協(xié)議的設(shè)備。ZMap 也無法掃描私密網(wǎng)絡(luò)內(nèi)部，比如企業(yè)內(nèi)網(wǎng)或移動網(wǎng)絡(luò)上的設(shè)備。

Green 稱，盡管如此，ZMap 和其他掃描軟件也能大致顯示互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的狀態(tài)。和之前的糟糕狀態(tài)相比，我們正變得越來越好。

via mit

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。