Open SSL 的 Bug 可说是有网络以来最重大的资安事件之一,据说是工程师在撰写程式码的时候犯了一个错误才导致这个 Bug 发生,由于这个漏洞已存在 20 个月之久,甚至传出 NSA 早就知道 OpenSSL 漏洞存在的风声。
彭博社于上周五援引两名不具名人士的消息指出,美国国安局的“棱镜计划”早就知道 OpenSSL 存在相关 Bug ,并已经利用此 Bug 搜集网络隐私资料近两年之久,但此消息被美国国安局严正否认。
美国能源部所属的劳伦斯柏克莱国家实验室(Lawrence Berkeley National Laboratory)则利用监测资料提供不同看法;该实验室由加州大学柏克莱分校管理,专门进行非机密研究,该实验室原本就在进行网络流量研究,该研究纪录成千上万台网络系统的流量,这些流量资料可以保存数个月之久。
目前没有任何有效的检测或追踪方法,可以找到任何服务器被此漏洞攻击的证据,但实验室的安全人员则反向利用 Heartbleed 漏洞的特性查看纪录:如果骇客利用 Heartbleed 的漏洞攻击,一次只会露出 64 kB 大小的资料,因此攻击者需要反复利用此漏洞攻击多次,才能够获得够多有意义的数据。
就在这样的前提下,安全人员以 64kb 开始寻找有任何可能与 Heartbleed 漏洞有关的漏洞,但他们没有任何收获。
但这个漏洞存在至少 20 个月之久,即使从一月到现在找不到相关的入侵踪迹,也不代表这之前没有人用过 Heartbleed 漏洞,或者是使用这个漏洞的人,并没有入侵劳伦斯柏克莱国家实验室所测量的的网域中,但至少可以证明这个漏洞被公布前拿来使用的情况,或许没有非常严重。
目前仍然有许多网络服务器没有更新,很容易会遭受 Heartbleed 攻击,密歇根大学的研究员发现在美国时间星期一之前,还有 140 万服务器存有 Heartbleed 漏洞。
参考资料:Study Finds No Evidence of Heartbleed Attacks Before the Bug Was Exposed
图片来源:ZDnet
