美国安全研究人员表示,目前还没有任何证据能证明“心脏流血”漏洞对外公布前已经被黑客利用。
自从“心脏流血”漏洞上周曝光后,所有人都在问同一个问题:是否有人在谷歌研究人员发现该漏洞前利用其发动过攻击。
从OpenSSL出现这一漏洞到被研究人员披露,中间时隔长达两年。而由于美国联邦调查局(FBI)和谷歌等众多政府机构和互联网公司都在使用这套免费软件,因此倘若黑客提前获知该漏洞,便可利用其窃取密码和用于破解加密数据的密钥。
除此之外,与常规攻击方式不同的是,利用该漏洞窃取信息不会留下作案证据。这便引发了人们的更大恐慌。
不过,美国劳伦斯伯克利国家实验室的研究人员表示,仍然有可能通过向存在漏洞的OpenSSL“心跳”代码发送的消息长度,以及发送给服务器的信息请求长度来判断该漏洞是否曾被黑客利用。
在利用该漏洞发起的攻击中,响应信息的数据长度会大于请求信息。而由于“心脏流血”漏洞一次只能暴露64KB的少量信息,黑客可能会反复利用这项技术来搜集有价值的数据,从而生成更长的响应数据流。
上周,美国劳伦斯伯克利国家实验室与国家能源研究科学计算中心的研究人员,对1月底以来进出其网络的互联网流量记录进行了检查,但没有发现任何可能与“心脏流血”攻击有关的响应数据。
不过,这项研究并不排除1月之前曾经发生过“心脏流血”攻击的可能。由于“心脏流血”漏洞最早出现在2012年3月,所以攻击者仍有18个月的时间来利用这项漏洞。除此之外,黑客还有可能利用该漏洞在这两家机构的监控范围之外展开攻击。
这两家机构的网络流量涵盖了数千套互联网系统,他们还保留了长达数月的网络日志。美国加州大学伯克利分校计算机科学家沃恩·帕克森(vern Paxson)表示,倘若发生过大范围的“心脏流血”漏洞扫描活动,肯定可以被这些重要的互联网枢纽记录下来。
彭博社上周援引知情人士的话称,美国国家安全局(以下简称“NSA”)两年前就已经知晓了“心脏流血”漏洞,并对其加以利用。但NSA和白宫官员都已经否认此事。
不过,安全专家和执法部门越来越担心,黑客可能正在利用这项已经公布一周的漏洞。本周二,一名19岁加拿大男子被控利用该漏洞窃取加拿大税务局的数据。据悉,共有900名加拿大纳税人的信息因此被盗。
与此同时,美国密歇根大学的4位电脑科学家也在使用“蜜罐”技术了解黑客是否试图利用“心脏流血”漏洞。他们已经在3个蜜罐中发现了41个试图扫描和利用该漏洞的团体,其中有59%来自中国。
但这些攻击行为都发生在该漏洞4月8日公布之后。这些科学家同样没有发现有人在漏洞公布前便对其加以利用的证据。不过,值得注意的是,目前还无法判断这些扫描行为来自真正的黑客,还是其他研究人员。
互联网管理公司CloudFlaire发起了一场竞赛,邀请世界各地的程序员从一个存在“心脏流血”漏洞的服务器上窃取密钥。如果攻击人员可以窃取密钥,便有可能对加密内容进行解码,并破解此后的通讯信息。来自波兰和芬兰的两名研究人员花费11小时完成了这一任务。
密歇根大学的科学家周一下午发现,按照最新统计数据,仍有140万网络服务器存在“心脏流血”漏洞。他们已经在网站上列出了存在风险的网站列表。
文章转载自开源中国社区 [http://www.oschina.net]
