美國安全研究人員表示,目前還沒有任何證據能證明“心臟流血”漏洞對外公佈前已經被黑客利用。 自從“心臟流血”漏洞上周曝光後,所有人都在問同一個問題:是否有人在谷歌研究人員發現該漏洞前利用其發動過攻擊。
從OpenSSL出現這一漏洞到被研究人員披露,中間時隔長達兩年。而由於美國聯邦調查局(FBI)和谷歌等眾多政府機構和互聯網公司都在使用這套免費軟件,因此倘若黑客提前獲知該漏洞,便可利用其竊取密碼和用於破解加密數據的密鑰。
除此之外,與常規攻擊方式不同的是,利用該漏洞竊取信息不會留下作案證據。這便引發瞭人們的更大恐慌。
不過,美國勞倫斯伯克利國傢實驗室的研究人員表示,仍然有可能通過向存在漏洞的OpenSSL“心跳”代碼發送的消息長度,以及發送給服務器的信息請求長度來判斷該漏洞是否曾被黑客利用。
在利用該漏洞發起的攻擊中,響應信息的數據長度會大於請求信息。而由於“心臟流血”漏洞一次隻能暴露64KB的少量信息,黑客可能會反復利用這項技術來搜集有價值的數據,從而生成更長的響應數據流。
上周,美國勞倫斯伯克利國傢實驗室與國傢能源研究科學計算中心的研究人員,對1月底以來進出其網絡的互聯網流量記錄進行瞭檢查,但沒有發現任何可能與“心臟流血”攻擊有關的響應數據。
不過,這項研究並不排除1月之前曾經發生過“心臟流血”攻擊的可能。由於“心臟流血”漏洞最早出現在2012年3月,所以攻擊者仍有18個月的時間來利用這項漏洞。除此之外,黑客還有可能利用該漏洞在這兩傢機構的監控范圍之外展開攻擊。
這兩傢機構的網絡流量涵蓋瞭數千套互聯網系統,他們還保留瞭長達數月的網絡日志。美國加州大學伯克利分校計算機科學傢沃恩·帕克森(vern Paxson)表示,倘若發生過大范圍的“心臟流血”漏洞掃描活動,肯定可以被這些重要的互聯網樞紐記錄下來。
彭博社上周援引知情人士的話稱,美國國傢安全局(以下簡稱“NSA”)兩年前就已經知曉瞭“心臟流血”漏洞,並對其加以利用。但NSA和白宮官員都已經否認此事。
不過,安全專傢和執法部門越來越擔心,黑客可能正在利用這項已經公佈一周的漏洞。本周二,一名19歲加拿大男子被控利用該漏洞竊取加拿大稅務局的數據。據悉,共有900名加拿大納稅人的信息因此被盜。
與此同時,美國密歇根大學的4位電腦科學傢也在使用“蜜罐”技術瞭解黑客是否試圖利用“心臟流血”漏洞。他們已經在3個蜜罐中發現瞭41個試圖掃描和利用該漏洞的團體,其中有59%來自中國。
但這些攻擊行為都發生在該漏洞4月8日公佈之後。這些科學傢同樣沒有發現有人在漏洞公佈前便對其加以利用的證據。不過,值得註意的是,目前還無法判斷這些掃描行為來自真正的黑客,還是其他研究人員。
互聯網管理公司CloudFlaire發起瞭一場競賽,邀請世界各地的程序員從一個存在“心臟流血”漏洞的服務器上竊取密鑰。如果攻擊人員可以竊取密鑰,便有可能對加密內容進行解碼,並破解此後的通訊信息。來自波蘭和芬蘭的兩名研究人員花費11小時完成瞭這一任務。
密歇根大學的科學傢周一下午發現,按照最新統計數據,仍有140萬網絡服務器存在“心臟流血”漏洞。他們已經在網站上列出瞭存在風險的網站列表,網址為:https://zmap.io/heartbleed/。
Orignal From: 研究稱OpenSSL漏洞公佈前未遭受攻擊
留言列表
