今年 3 月,有人在对网站进行加密保护的程序中发现了一个大漏洞 FREAK,而密歇根大学研究员 Zakir Durumeric 是第一个知道这一漏洞有多严重的人。通过扫描互联网上的所有设备,他甚至要比最先发现这一漏洞的人更早知道这一漏洞的全部威力。
扫描显示,有超过 500 万个网站受 FREAK 的影响,包括 FBI、谷歌和苹果运营的网站。出现在许多流行网站上的 Facebook 赞按钮也受到了影响。这就需要在问题公开曝光之前,紧急通知关键公司和组织,还要小心泄密。
FREAK 漏洞可以让攻击者破坏网络浏览器与受影响网站之间的安全连接,访问两者之间传输的加密数据。这种攻击的原理是迫使网站使用美国政府在上世纪 90 年代规定的加密形式,而这种加密现在已经很脆弱。
一小时扫描整个互联网
Durumeric 领导密歇根大学的一队研究人员开发了扫描软件 ZMap。这一工具能在一个小时内扫描整个公共互联网,显示近 40 亿在线设备的信息。扫描结果能显示哪些网站无法防御特定漏洞。而在 FREAK 的例子中,扫描是为了在漏洞公开宣布前评估漏洞的威胁程度。
约翰·霍普金斯大学助理教授 Matthew Green、微软的一个研究团队、法国计算机科学与自动化研究所,以及马德里先进技术研究院都就 FREAK 漏洞联系了 ZMap 团队。
Green 表示,扫描结果能帮助他决定向谁透露消息,确保漏洞公开不会将大部分互联网置于危险之中。“我们之前都没有过这么好的数据。这些数据能告诉我们,哪些网站对漏洞毫无防范,还可以告诉人们事情究竟有多糟糕。直到 Zakir 做了这次扫描,我才知道事情有多糟”,Green 说道。
Durumeric 及其同事在 2013 年末开发了 ZMap。在此之前,用软件扫描互联网需要耗时数周或数月。Durumeric 表示:“当时的工具比 ZMap 慢 1000 倍。”
给互联网排毒
ZMap 的第一个高端项目是追踪“心脏出血”漏洞的影响。研究人员们会定期扫描未修复漏洞的系统并发布一个受影响网站清单,以及如何修复漏洞的信息。
Durumeric 称,此举是为了迫使公司修复漏洞。该组织甚至还会发送自动邮件通知公司,告诉它们如何修复漏洞。受控试验显示,这些通知取得了显著效果。
该团队很快就会对 FREAK 漏洞进行类似的通知。他们也在扫描,以追踪 FREAK 等漏洞得到修复需要多长时间。在“心脏出血”漏洞公开差不多一年后,前 100 万个网站中依然有约 1% 没有修复该漏洞。
安全公司 Rapid7 首席研究官 HD Moore 表示,这些知名漏洞未得到修复的主要原因之一是,这些公司没有意识到这些漏洞的严重性。Moore 也用 ZMap 来扫描。“大多数企业至少对自己 10% 的公共互联网资产完全不知情”,他说道。ZMap 扫描能帮助公司找到没有修复漏洞的基础设施。
Moore 在 2012 年时就开始用自己设计的软件来扫描互联网。现在他在 Rapid7 中运营着一个更正式的扫描项目,使用 ZMap 以及公司内部开发的软件。
Green 表示,谷歌也已经开始进行互联网扫描,结果将用来让 Chrome 浏览器更安全地访问存在安全风险的网站。
然而,像 ZMap 这样的工具没法发现所有漏洞。ZMap 能扫描使用 IPv4 协议的联网设备,但却没法覆盖使用 IPv6 协议的设备。ZMap 也无法扫描私密网络内部,比如企业内网或移动网络上的设备。
Green 称,尽管如此,ZMap 和其他扫描软件也能大致显示互联网基础设施的状态。和之前的糟糕状态相比,我们正变得越来越好。