解读 2014 之安全篇：史诗级漏洞频发

编者按

2014 年，整个 IT 领域发生了许多深刻而又复杂的变化，InfoQ 策划了“解读2014 ”年终技术盘点系列文章，希望能够给读者清晰地梳理出技术领域在这一年的发展变化，回顾过去，继续前行。本篇是解读系列的又一新作，互联网安全事件剖析，知道创宇技术副总裁余弦鼎力加盟话安全。

正文

初识余弦是在半年前，平时沟通算不上多，直到 QCon 上海 2014 大会时，我们才渐渐熟识。他作为隐私安全专场的讲师，带来了主题为《程序员与黑客》的演讲，制造了一场惊心动魄的思维PK，俘虏了众多“程黑”粉。这位看上去安静的美男子有着一颗并不安分的心，对这个世界充满好奇，最擅长的黑客攻防，在他的黑客生涯中发现过众多安全漏洞，实战经验极其丰富，经由他编写的《 Web 前端黑客技术揭秘》一书也十分畅销。

2014 年是互联网严重漏洞集中爆发的一年，如 OpenSSL 的心脏出血（Heartbleed）漏洞、Bash 破壳（Shellshock）漏洞、Windows 的一些 0Day 漏洞等，受影响的企业、网站、硬件设备等范围很广。这一年对余弦来说也是不平凡的一年，他亲身参与了携程信用卡盗刷、心脏出血、破壳漏洞、12306 撞库等大事件的一线支撑。本文以时间为主轴，将这些事件串联起来，带大家回顾一下安全领域发生的几件大事儿。

携程信用卡泄露门

2014 年 3 月 22 日，中国在线旅游巨头携程公司被爆出“支付漏洞”，用户信用卡信息有可能被黑客读取，一时间引起成千上万用户的担心，纷纷打听是不是要更换信用卡。余弦认为这只是部分媒体对此事件的报道过分夸大，造成闹剧化趋势，事实上并没有那么可怕。关于漏洞产生的原因，余弦解释到：“按理说一个金融支付类的网站，应该遵守 PCI DSS（支付卡行业数据安全标准），这个标准体系里面有严格的规定，安全要怎么做？不能存，不能记录。如果记录了没有被曝光也许没事，但是被曝光出来了，又和人的财产相关，所以引起的动荡面还是很大的。当然，携程也迅速应急这件事，当一个企业成为舆论焦点的时候，携程做得比较好的是他承认了这件事，而且会改进这件事，并且去理赔，还是尽到了应尽的责任。”

OpenSSL 心脏出血

2014 年 4 月 7 日，OpenSSL 发布了安全公告，在 OpenSSL1.0.1 版本中存在严重漏洞（CVE-2014-0160）。OpenSSL Heartbleed 模块存在一个 BUG，问题存在于 ssl/dl_both.c 文件中的心跳部分，当攻击者构造一个特殊的数据包，满足用户心跳包中无法提供足够多的数据会导致 memcpy 函数把 SSLv3 记录之后的数据直接输出，该漏洞导致攻击者可以远程读取存在漏洞版本的 OpenSSL 服务器内存中多达 64K 的数据。每次可以读取 64K，循环去读，基本可以把这个机器内存里面保留的东西全部读出来。有很多用户名、密码，包括用户登陆的操作，收发邮件等私密明文信息。

余弦谈到 4 月 8 号开始，他们团队就开始应急，给国家包括很多媒体做了一线的支撑。大概 6 个小时后，了解到全球有 240 多万服务器受影响，覆盖面包括了使用 HTTPS 这样的安全网站，还有一些安全邮件的传输，还有 VPN 等。从全球来看，这个应急速度是非常快的，通过微博、微信等方式的传输，全球很多黑客都在行动，各种刷数据。总体来说，这次事件是整个中国安全应急的一次胜利。

Bash 破壳（Shellshock）漏洞

9 月 25 号，继“心脏出血”漏洞之后，安全研究专家又发现了一个危险级别为“毁灭级”的漏洞——Shellshock 漏洞。这项漏洞的威胁程度堪比“心脏流血”，甚至影响更大。一方面是因为 Shellshock 所影响的 Bash 软件，同样被广泛应用于各类网络服务器以及其他电脑设备。另一方面，Shellshock 本身的破坏力却更大，因为黑客可以借此完全控制被感染的机器。

回忆起当时的情景，余弦不禁感叹道：“又是一个不眠夜！”。这种世界级的漏洞，很有可能半年之后又会发生。就好像渔夫懂得暴风雨要来临一样，黑客也有这样的预感，当时他就是这样的感觉。当然这种感觉并非没有道理，而是根据很多的线索感知出来的。破壳爆发的时候，国外的漏洞库 CVE 有一个比较专业的评价，他们有一个平衡的标准，心脏出血定义是 5 分，破壳漏洞是 10 分，顶级的。心脏出血是心脏出了血，破壳是“壳”破掉了，这都比较形象。因为它影响的是 Bash，翻成中文就是“壳”。这几个漏洞都比较有代表性。这些漏洞的问题在于这个 Bash，它在 Linux 世界存在了 25 年之久，这个漏洞也存在了 25 年，是史诗级的。虽然不能说全球所有的 Linux 都受影响，但基本上都受影响了。这时候就要去证明这个东西，像心脏出血，第一天看出 240 多万出问题，破壳一天有多少？通过研究发现探测的方式很复杂，不像心脏出血，针对它的服务器发几个包就可以知道情况。破壳不一样，在网络上，不同的设备、组件，所使用的 Bash 方式不太一样。破壳既可以远程也可以本地。远程方式比较复杂，需要 CGI 作为一个入口，并且这个 CGI 与 Bash 命令进行了交互，这时需要根据不同的设备，针对性地添加探测规则。但是一旦探测成功，就可以轻易入侵，在实测中发现几乎所有设备都用 root 权限启用这个 CGI，导致可以完全控制服务器权限。这些量级，多则几十万，少则几千。这个事情对整个业内的影响非常之大。

索尼影业被黑

11 月 27 日，索尼公司被黑客攻击内网之后，宣布旗下 5 部电影遭到了泄密。这并不是一部影片遭遇泄密，而是大面积的泄密事件，足以引起绝对的重视。这次的事件全球的报道还是比较多的，各种花边的消息，各种说法都会有。据余弦透漏，索尼以前也出现过这样的问题，以前也得罪了黑客。现在又出现这样的问题，这个问题出现的还比较明显，有人告诉他是谁来黑他们了，他们这才发现，然后 FBI 进来调查，调查之后查到可能和朝鲜有关系。朝鲜前段时间因为这件事全国断网之类的，引起很多人的联想。当时八卦是说索尼那边有一个电影叫《刺杀金正恩》，惹怒了黑客，所以发生了这件事。而且这个可能还和内鬼有关，内外结合才会黑得这么透彻，还放出了很多索尼的内部资料，好几十 G，都可以下载。这就变得特别特别复杂、特别乱。背后牵涉到一些国与国之间政治上的东西，渐渐到经济上的一些影响、舆论上的东西。像索尼这么大的公司都会被黑客攻击，何况一些小公司呢？安全问题要尤为重视。

12306 遭撞库攻击

12 月 24 日，漏洞报告平台乌云网出现了一则关于中国铁路购票网站 12306 的漏洞报告，危害等级显示为“高”，漏洞类型则是“用户资料大量泄漏”。据悉，此漏洞将有可能导致所有注册了 12306 用户的账号、明文密码、身份证、邮箱等敏感信息泄露。对此，余弦认为：“12306，这本来就是一个很具有争议性的网站，尤其是在技术上。因为它和老百姓的生活息息相关，一旦出问题，当然是‘风口浪尖’，被各路黑客盯上也是很正常的事情。作为一个安全研究的团队，首先要想到一个好的思路，如何给出一个最佳、最严谨的真相？虽然很多人恨 12306、骂 12306，但是这个错误确实不是他们的。当 12306 的这个事情爆出来时，知道创宇安全团队很快开始做分析，经过很多的推敲，比如要随机调查、分析、审核，认为没有太多问题时，再对外发声，整个过程中团队的配合非常默契。”

对于这被泄露的 131653 条记录，当时有几种猜测，一种是撞库，还有是拖库，还有是用了第三方的插件（刷票）。从直觉来看，余弦认为是撞库出来的，然后去印证。如果是撞出来的，通过账号密码、身份证能体现出来。当登陆 12306 网站测试时，发现身份证等相关资料都是明文的，说明这个撞库的程序自动化是可以实现的。而且可以找到撞库的接口，通过这个接口，不需要验证码之类的，可以很方便的去刷。这些既然可以办到，那就说明撞库的可能性比较大。如果是撞库，那么哪些库可以作为依据来撞？于是将历史上泄露的一些库拿出来对比，发现相似度极高，大概有这样的一个依据。网上广为流传是由于第三方插件带来安全隐患，对于这一说法。余弦团队也进行了验证。他们从泄露的账号中找到几个和 QQ 号有关的，去添加测试。追踪是否使用第三方插件刷票的问题时，得到的答案都是否定的，那么可以排除通过第三方插件的可能性。对比之下得出了撞库这个结论。第二天 12306 的新闻就出来了，此次攻击确实是因撞库引起的。年关将至，爆出这么一出，用户也真是醉了呀！

总结

以上只是 2014 年我们所认为影响比较大的网络攻击事件，实际上这还只是冰山一角，余弦认为，未来的网络空间将出现更多错综复杂网络袭击。比如说“工业控制”，尤其在国内，工业控制可以看作是民生的一个基础，水利、电力、石油、管道、燃气、交通、航天、化工、能源等全部都是工控。另外物联网、可穿戴设备、医疗设备等，这些都会在 2015 年爆发出来，安全伴随着不同的实体，这些实体在发展，安全同时也会发展起来。和人民的基础设备有关系的，一旦出问题了，带来的影响就不仅仅是数据丢失那么简单了，可能还会涉及到人身安全问题，迟早会有一篇新闻报道说，黑客控制什么什么，导致多少多少人死亡，这个也许会发生在 2015 年以后的某一年。

这么多安全事件引爆，都是黑客攻来攻去。所有这些事件的发生都和互联网的网络空间息息相关。这个网络空间如同人的大脑，网络空间里每一个终端的背后都是一个人，这个人给终端输入相关的指令，人的思维影响着终端的行为，终端的行为在整个网络空间传播，然后被存储下来。每一个终端都是一个节点，一个点一个点串起来，最终形成一个非常智慧的“大脑”，有存储、有记忆、有思维流通。它是群体构成的，不会依赖于个人的意志力去改变。哪怕有再多可怕的事件发生，这都没关系。整个行业一直往前发展，人类的智慧力量无穷。一个黑客再邪恶、再凶狠，这个大脑都是可以治愈的。有受伤，治愈就 OK。未来还有很长的路要走，虽然压力无穷，但是正能量满满。