從“心血”安全漏洞談起

裴毅東

通常，當用戶訪問Gmail.com等網(wǎng)站時，會在URL地址欄看到一個“鎖”型標志。這個標志表明用戶在該網(wǎng)站上的通信信息都被加密，第三方無法讀取用戶與該網(wǎng)站之間的任何通信信息，只有接收者才能解密。如果不法分子監(jiān)聽了用戶的對話，也只能看到一串隨機字符串，而無法了解電子郵件、Facebook帖子、信用卡賬號或其他隱私信息的具體內容。Open SSL正是互聯(lián)網(wǎng)加密使用最廣泛的這把“鎖”。用戶或許認為，Gmail和Facebook等網(wǎng)站上的Open SSL加密“鎖”可以保證通信信息安全，而實際上，借助Open SSL的安全漏洞，不法分子可以輕易解密用戶的通信信息，甚至獲取服務器密鑰。Open SSL存在的安全漏洞，可以使這把廣泛使用的“安全鎖”成為無需鑰匙即可開啟的“廢鎖”。

2014年4月，谷歌安全部門和芬蘭安全檢測公司科諾康同時發(fā)現(xiàn)Open SSL開源軟件存在名為“心血”的安全漏洞。作為全球2/3以上互聯(lián)網(wǎng)網(wǎng)站普遍采用的加密手段，Open SSL開源軟件存在的安全漏洞，不僅會使網(wǎng)上銀行、電子支付、門戶網(wǎng)站、電子郵件等網(wǎng)站的用戶敏感信息面臨被竊取的危險，還會使網(wǎng)絡服務器、路由器、移動智能終端等網(wǎng)絡設備甚至國家關鍵信息基礎設施面臨受攻擊的風險。此次曝光的“心血”安全漏洞雖為獨立事件，但絕非偶然，這再次反映出美國政府在網(wǎng)絡安全漏洞的獲取、利用、頂層設計方面具備成熟的運行機制。

“心血”安全漏洞的形成原因及工作機理

Open SSL采用C語言開發(fā)，可以支持Linux、Windows、Mac OS等多種操作系統(tǒng)，具有優(yōu)秀的跨平臺性能，已成為目前互聯(lián)網(wǎng)領域廣泛使用的一種開源加密軟件工具。用戶在網(wǎng)站上的賬戶、密碼及各類通信信息均通過該軟件包進行加密。加密數(shù)據(jù)只有網(wǎng)絡服務器這個接收者才能解密，不法分子即便監(jiān)聽用戶與網(wǎng)絡服務器之間的對話信息，也只能看見一行隨機字符串，而無法獲取用戶實際的敏感信息。

此次Open SSL 1.0.2-beta及Open SSL 1.0.1系列（除1.0.1g外）多個版本存在的“心血”安全漏洞，使得Open SSL的加密功能基本無效，主要問題出在Open SSL實現(xiàn)傳輸層安全協(xié)議（TLS/DTLS）的心跳擴展代碼中。當Open SSL的傳輸層安全協(xié)議被調用時，連接SSL一端的客戶端向另一端的服務器發(fā)出一條簡短的字符串（即“心跳信息”），以確認服務器在線并能獲取響應；另一端的服務器會向客戶端返回與“心跳信息”相匹配的信息。但是，在這個過程中，由于Open SSL未對客戶端發(fā)送的字符串長度做邊界檢查，使不法分子可以截獲正常“心跳信息”并修改其長度后發(fā)給服務器，欺騙網(wǎng)絡服務器，從其內存中竊取相應長度的數(shù)據(jù)，并將相應空間的信息作為“心跳信息”返回給不法分子，這部分數(shù)據(jù)中，很可能包含安全證書、用戶名與密碼、聊天工具的消息、電子郵件以及重要的商業(yè)文檔等信息。雖然不法分子利用該漏洞每次只能從服務器竊取64KB字節(jié)信息，但反復多次操作后，可以拼湊出更多用戶的賬戶、密碼、通信記錄等多種敏感信息。

“心血”安全漏洞可能產(chǎn)生的影響

由于“心血”安全漏洞屬于內存泄露，可以從服務器內存中直接讀取數(shù)據(jù)，即使入侵行為也不會在服務器日志中留下痕跡，所以無法確定哪些服務器曾被入侵。但從Open SSL的應用范圍，可以判斷“心血”安全漏洞可能產(chǎn)生的影響。

大范圍波及互聯(lián)網(wǎng)服務器及相關信息服務

2014年4月，英國Netcraft公司提供的網(wǎng)站服務器調查數(shù)據(jù)顯示，全球約有66%的互聯(lián)網(wǎng)活躍網(wǎng)站受“心血”安全漏洞影響。這些網(wǎng)站大都采用了基于Open SSL的Apache和Nginx等開源服務器。此外，由于Open SSL主要用于保護電子郵件服務器、聊天服務器、虛擬專用網(wǎng)絡、網(wǎng)絡應用和多種客戶端軟件，所以除互聯(lián)網(wǎng)網(wǎng)站受到影響外，電子郵件、即時通信和虛擬專網(wǎng)（VPN）等信息服務都遭受了嚴重影響。

2014年4月9日，我國國家信息安全漏洞共享平臺（CNVD）發(fā)布了關于“心血”漏洞的情況通報。根據(jù)監(jiān)測結果，國內外一些大型互聯(lián)網(wǎng)企業(yè)的相關VPN、郵件服務、即時聊天、網(wǎng)絡支付、電子商務、權限認證等服務器受到漏洞影響，此外一些政府和高校網(wǎng)站服務器也受到影響。國內兩大信息安全公司的監(jiān)測數(shù)據(jù)顯示，國內網(wǎng)站約有2.3萬個（占其抽樣的1.5%）和1.1萬個（占其抽樣的1.0%）服務器主機受影響，涉及大型電商網(wǎng)站、銀行網(wǎng)銀系統(tǒng)、第三方支付、微信、淘寶、社交網(wǎng)站、門戶網(wǎng)站等等，以及126、163等郵箱、即時通信服務。截止4月10日，在全國存在“心血”安全漏洞的網(wǎng)站中，依然有近30%沒有采取任何防護措施。

大量敏感數(shù)據(jù)可能遭竊取

目前，“心血”安全漏洞的驗證腳本可以被不法分子廣泛獲取，而且不法分子可以針對這一安全漏洞進行大量的試驗和嘗試，可能導致使用Open SSL的站點遭到信息竊取。然而由于不法分子利用該安全漏洞對服務器進行信息竊取時不會留下任何痕跡，可能導致有些站點的大量敏感數(shù)據(jù)已經(jīng)遭到竊取，卻渾然不覺。

由于該安全漏洞給不法分子提供了讀取網(wǎng)站服務器內存的權限，用戶修改密碼、發(fā)送消息、登錄等請求以及很多操作會全部暴露出來，直接導致用戶的證書密鑰、用戶名、密碼、甚至是安全問題與答案、即時通信、電子郵件、業(yè)務關鍵文檔和通信信息都可能遭竊。

國家關鍵信息基礎設施或受影響

事實上，政府、金融、能源、交通、國防等諸多國家關鍵領域都有用到類似Open SSL的開源軟件組件，由于這種組件功能專一、用途廣泛，且具有不可替代性，一旦存在安全漏洞，將導致國家關鍵信息基礎設施的底層通信、信息傳輸、上層應用等功能徹底癱瘓，甚至整個網(wǎng)絡空間都將面臨嚴峻的安全風險。

美國已建立完善的網(wǎng)絡安全漏洞獲取與應用機制

“心血”只是被曝光的眾多安全漏洞之一。當前，大量類似Open SSL這樣的開源軟件包廣泛應用于全球互聯(lián)網(wǎng)服務器、路由器、移動智能終端以及國家重要信息基礎設施。公開資料表明，美國長期以來通過植入、發(fā)掘、購買等多種方式獲取安全漏洞，建立了一套相對完善的網(wǎng)絡安全漏洞獲取機制。endprint

多管齊下獲取安全漏洞

作為網(wǎng)絡時代的領跑者，以及最早發(fā)現(xiàn)并應用網(wǎng)絡技術的國家，面對日益復雜的網(wǎng)絡安全威脅，美國政府一直將安全漏洞視為重要的網(wǎng)絡戰(zhàn)略資源，為掌握海量秘密漏洞不惜花費大量的人力、物力和財力。

一是斥巨資與私營科技公司緊密合作，在軟硬件產(chǎn)品或算法中植入安全漏洞、預置“后門”。美國政府與私營企業(yè)的合作由來已久，大約有數(shù)千家高科技公司作為“可信合作伙伴”為美國政府提供用戶敏感信息，其中不乏谷歌、微軟、思科等世界知名IT公司。例如，美國國家安全局每年為“信號情報”項目（SIGNIT）投入2.5億美元，以合同授予的形式引誘國內科技公司在商用加密系統(tǒng)、網(wǎng)絡系統(tǒng)、通信設備中植入隱秘漏洞，方便國家安全局獲取用戶信息。國家安全局曾與加密技術公司RSA達成1000萬美元的協(xié)議，要求對移動終端廣泛使用的加密軟件預置2個精心設計的“后門”。

同時，國家安全局下屬的“商用解決方案中心”長期與私營科技公司開展合作，表面上是對企業(yè)的IT產(chǎn)品進行安全評估，實際上是尋求如何在IT產(chǎn)品中植入安全漏洞。

二是建立官方專業(yè)技術團隊，開展網(wǎng)絡安全漏洞研究，不斷挖掘和發(fā)現(xiàn)漏洞。美國政府十分重視利用專業(yè)技術團隊的力量提升網(wǎng)絡防御與攻擊能力，充分吸收民間網(wǎng)絡人才組建專門技術團隊，并集結軍方精銳網(wǎng)絡力量挖掘和發(fā)現(xiàn)當前各類系統(tǒng)存在的安全漏洞。國家安全局下屬的“獲取特定情報行動辦公室”（TAO）的“遠程行動中心”擁有一個超過600名專業(yè)技術人員的團隊。該技術團隊建立了從網(wǎng)絡設施到人、從內容到行為的完整體系，以網(wǎng)絡獲取技術為主線，以云計算和大數(shù)據(jù)分析技術為核心，利用先進的網(wǎng)絡滲透、機器學習、數(shù)據(jù)分析等漏洞挖掘技術，不間斷地尋找他國信息系統(tǒng)的安全漏洞，這已成為美國政府獲取安全漏洞的重要渠道。

三是投入大量資金，長期從黑客手中購買漏洞。多年來，為第一時間掌握互聯(lián)網(wǎng)、軟件、服務器存在的安全漏洞，美國政府長期從販賣漏洞的黑客手中購買安全漏洞。盡管平均每項安全漏洞的價格達到3.5～16萬美元，蘋果iOS系統(tǒng)安全漏洞的售價甚至高達50萬美元，但美國政府為提升自身網(wǎng)絡的防御和攻擊能力，仍不惜重金，成為當前安全漏洞市場的最大買家。據(jù)國家安全局合同文件顯示，該機構在2012年9月訂購了法國安全公司VUPEN一年的“零日”漏洞。

充分利用安全漏洞資源，做到早發(fā)現(xiàn)、早修復、早利用

一是利用發(fā)現(xiàn)的安全漏洞，及時修復自身網(wǎng)絡存在的安全問題，做好網(wǎng)絡防御措施。據(jù)美國彭博新聞社報道，美國國家安全局早在2012年就發(fā)現(xiàn)Open SSL開源加密軟件存在“心血”安全漏洞，但美國政府出于“維護國家安全威脅免受威脅”等因素的考慮，一直未將漏洞信息公之于眾，為其利用該漏洞搜集情報提供了2年的時間窗口。當“心血”安全漏洞被私營企業(yè)發(fā)現(xiàn)后，美國聯(lián)邦儲備委員會、財政部、國土安全部等政府部門立即對網(wǎng)絡系統(tǒng)開展了全面測試和修復。

二是利用安全漏洞制造網(wǎng)絡監(jiān)聽工具，搜集海量機密信息。一旦美國國家安全局尋找到目標網(wǎng)絡或計算機存在安全漏洞，就會借助軟件設計師和工程師隊伍設計的專用監(jiān)聽軟件，通過電子手段入侵系統(tǒng)并持續(xù)搜集機密信息。自2009年開始，美國政府利用搜集華為公司相關技術中存在的安全漏洞，入侵華為網(wǎng)絡設備并實施監(jiān)控，試圖找到華為與中國軍方之間有聯(lián)系的證據(jù)，同時監(jiān)控華為高管的通信。

三是利用安全漏洞制造網(wǎng)絡攻擊武器，破壞關鍵基礎設施。美國政府通過植入、發(fā)掘和購買等方式獲得安全漏洞后，利用這些龐大的安全漏洞資源，研發(fā)制造極具殺傷力的網(wǎng)絡武器，伺機將惡意軟件植入目標國家的計算機、路由器和防火墻，在需要時利用先進的網(wǎng)絡滲透與攻擊技術實行謹慎而高效的網(wǎng)絡監(jiān)聽或攻擊，破壞他國關鍵信息基礎設施。2010年，美國家安全局曾利用包括Windows字體漏洞在內的四個“零日”漏洞，制造出“震網(wǎng)”蠕蟲病毒并向伊朗鈾濃縮項目發(fā)動攻擊，最終破壞了約1000臺伊朗離心機。此外，美國家安全局在代號為“精靈”的項目中，利用掌握到的漏洞資源，將惡意軟件秘密植入世界各地的計算機、路由器和防火墻，伺機發(fā)動網(wǎng)絡攻擊。至2013年底，該項目已控制了至少85000臺計算機。此外，美國中央情報局還部署了名為“FoxAcid”的利用安全漏洞發(fā)動網(wǎng)絡攻擊的服務器平臺，可對目標的狀態(tài)、受攻擊后的反應等進行判斷，以選擇最有效的漏洞進行攻擊。

從國家層面加強網(wǎng)絡安全立法和機構設置，為利用安全漏洞提供頂層保障

近年來曝光的每一例關于網(wǎng)絡安全的問題，基本都是由美國官方或私營科技公司率先發(fā)現(xiàn)，其他國家只有在安全漏洞曝光或遭受攻擊后才能了解安全漏洞的相關信息。事實上，美國從國家層面建立了一整套完善的安全漏洞監(jiān)測、預警及響應體系，通過加強網(wǎng)絡安全立法和組織機構設置，為美國率先獲取和利用安全漏洞提供了頂層保障。

首先，重視網(wǎng)絡安全戰(zhàn)略建設，將網(wǎng)絡安全由政策、計劃提升到國家戰(zhàn)略高度。從克林頓時期的《美國政府對關鍵基礎設施的保護政策》、《信息系統(tǒng)保護國家計劃》到布什時期的《保護網(wǎng)絡空間的國家戰(zhàn)略》，再到奧巴馬政府的《網(wǎng)絡空間國際戰(zhàn)略》、《提升美國關鍵基礎設施網(wǎng)絡安全框架》等一系列文件的出臺，可以看出，美國政府高度重視網(wǎng)絡安全戰(zhàn)略建設，將其視為影響經(jīng)濟發(fā)展和國家安全的關鍵因素，通過政策、計劃、戰(zhàn)略逐級遞增的方式，不斷提升美國網(wǎng)絡安全的戰(zhàn)略高度。同時，美國先后頒布了《計算機欺詐和濫用法》、《聯(lián)邦信息安全管理法》、《關鍵基礎設施信息法》等十多部有關網(wǎng)絡安全的法律，這些法律從計算機與信息系統(tǒng)安全、基礎設施安全、信息內容安全等多個層次構建了龐大的網(wǎng)絡安全保護框架，將網(wǎng)絡安全“威懾與防御”的理念貫徹在頂層戰(zhàn)略的具體規(guī)劃中，使美國成為網(wǎng)絡安全領域頒布法律最多且體系最為完善的國家。

其次，美國政府將網(wǎng)絡安全政策執(zhí)行、管理與監(jiān)督等權利分配給國土安全部、國防部、審計署、商務部及財政部等多個聯(lián)邦政府部門。各聯(lián)邦部門在網(wǎng)絡安全管理方面分工明確，職責清晰，形成了美國網(wǎng)絡安全管理的雙層主體架構：第一層是白宮網(wǎng)絡安全辦公室，由白宮網(wǎng)絡安全協(xié)調官協(xié)調和整合政府網(wǎng)絡安全方面的所有政策；第二層是國土安全部和國防部，分別作為聯(lián)邦政府網(wǎng)絡安全的指揮中樞和掌管美軍網(wǎng)絡安全與網(wǎng)絡作戰(zhàn)指揮的司令部。endprint

對我國網(wǎng)絡安全漏洞應對機制的建議

雖然“心血”安全漏洞在曝光后迅速得到修復，但我國仍至少有3萬臺服務器受到影響。鑒于我國政府、金融、能源、交通、軍工等關鍵行業(yè)所用的服務器、操作系統(tǒng)、芯片等軟硬件產(chǎn)品和通用網(wǎng)絡組件主要來自國外，無法實現(xiàn)安全可控，這些關鍵行業(yè)的信息基礎設施都可能受到該安全漏洞的影響。因此，我國一方面要加強自主、安全、可控的軟硬件技術與產(chǎn)品的研發(fā)，并逐步在關鍵領域實現(xiàn)替代，從根本上防御網(wǎng)絡安全漏洞存在的威脅；另一方面，應加大對網(wǎng)絡安全漏洞的監(jiān)測、預警和響應力度，使我國能夠及早發(fā)現(xiàn)網(wǎng)絡安全漏洞，進而做到早修復。

加強各部門之間信息共享和協(xié)同行動，提升網(wǎng)絡安全態(tài)勢的整體感知能力，及時實施應急響應和威懾反制措施

從“蠕蟲”病毒到“震網(wǎng)”攻擊，再到此次存在時間長達2年的“心血”安全漏洞，美國一直以來都是病毒、木馬、漏洞等網(wǎng)絡武器的第一發(fā)現(xiàn)者和網(wǎng)絡攻擊發(fā)起者，這些“成績”的取得都直接歸于美國所建立的成熟的網(wǎng)絡安全監(jiān)測機構。因此，我國應通過網(wǎng)絡安全監(jiān)測機構建立關鍵領域網(wǎng)絡安全漏洞庫，并及時將安全漏洞在不同部門之間共享，切實提高網(wǎng)絡安全態(tài)勢的感知能力和應急響應能力。

結合實際情況，堅持發(fā)展自主可控的軟硬件產(chǎn)品，著力推進國產(chǎn)軟硬件產(chǎn)品系統(tǒng)性替代

發(fā)展和應用自主可控的元器件、芯片、操作系統(tǒng)、數(shù)據(jù)庫、服務器等軟硬件產(chǎn)品，是保障我國網(wǎng)絡安全的根本方法。我國應該結合實際情況，尋找適合自身需求的軟硬件產(chǎn)品。例如，在桌面操作系統(tǒng)方面，我國不需要重新研發(fā)類似Windows這樣的操作系統(tǒng)，基于Linux開發(fā)的操作系統(tǒng)在可用性、易用性、適用性等方面基本具備替代能力。雖然國內廠商的研發(fā)能力、產(chǎn)品技術、生態(tài)環(huán)境與國外產(chǎn)品存在一定的差距，但國產(chǎn)操作系統(tǒng)、數(shù)據(jù)庫、服務器已基本能夠滿足大部分用戶90%以上的需求。然而，很多行業(yè)部門在實際選擇中出于風險和安全考慮，仍偏向使用國外產(chǎn)品。因此，我國應通過優(yōu)化政府采購政策等方式，加大國產(chǎn)軟硬件產(chǎn)品在政府、金融、能源、交通、軍工等關鍵行業(yè)的應用比例，逐步推進國產(chǎn)軟硬件產(chǎn)品的替代步伐。

正確認識開源軟件的安全性，通過第三方評測機構對關鍵行業(yè)重要信息基礎設施所用的開源軟件開展評估

開源軟件采用的“同行評議”方式，使得眾多開發(fā)者持續(xù)對軟件代碼進行修改和完善，在一定程度上可以有效消除軟件內部存在的缺陷。但正是由于行業(yè)內對Open SSL這類全球廣泛應用的開源軟件安全性的信任，使得某些明顯漏洞在開源軟件中長期存在。因此，我國應該了解和掌握開源軟件在政府、金融、能源、交通、軍工等關鍵行業(yè)重要信息基礎設施中的應用情況，通過第三方評測機構對上述行業(yè)所使用的開源操作系統(tǒng)、數(shù)據(jù)庫、服務器的安全性和可靠性開展評估，及時修復發(fā)現(xiàn)的安全漏洞，滿足黨政軍及國家關鍵基礎設施等重要信息系統(tǒng)的運行需求，應對他國持續(xù)、有預謀、高強度的網(wǎng)絡空間攻勢。

加強政企合作，借助IT企業(yè)成熟的技術和管理經(jīng)驗，應對新技術、新商業(yè)模式帶來的安全挑戰(zhàn)

以云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)和移動互聯(lián)網(wǎng)為代表的新技術、新應用已經(jīng)成為促進國家經(jīng)濟發(fā)展新的增長點，這些新技術、新商業(yè)模式的深度和廣度拓展將給國家?guī)硇碌陌踩{。當前，我國互聯(lián)網(wǎng)、通信、軟件產(chǎn)業(yè)蓬勃發(fā)展，涌現(xiàn)出百度、阿里、騰訊、華為、中興等一大批IT企業(yè)，形成了具有一定國際影響力和競爭力的IT產(chǎn)業(yè)格局。政府部門應充分借鑒和吸收IT企業(yè)成熟的技術和管理經(jīng)驗，雙方應在技術研發(fā)、成果轉化、人才培養(yǎng)等方面加強合作，形成從網(wǎng)絡安全漏洞預警、發(fā)現(xiàn)、攻擊，到用戶信息保護、處理、分析等一系列完善的分工合作機制。endprint