[[131101]]

今年 3 月，有人在對網站進行加密保護的程序中發現了一個大漏洞 FREAK，而密歇根大學研究員 Zakir Durumeric 是第一個知道這一漏洞有多嚴重的人。通過掃描互聯網上的所有設備，他甚至要比最先發現這一漏洞的人更早知道這一漏洞的全部威力。

掃描顯示，有超過 500 萬個網站受 FREAK 的影響，包括 FBI、谷歌和蘋果運營的網站。出現在許多流行網站上的 Facebook 贊按鈕也受到了影響。這就需要在問題公開曝光之前，緊急通知關鍵公司和組織，還要小心泄密。

FREAK 漏洞可以讓攻擊者破壞網絡瀏覽器與受影響網站之間的安全連接，訪問兩者之間傳輸的加密數據。這種攻擊的原理是迫使網站使用美國政府在上世紀 90 年代規定的加密形式，而這種加密現在已經很脆弱。

一小時掃描整個互聯網

Durumeric 領導密歇根大學的一隊研究人員開發了掃描軟件 ZMap。這一工具能在一個小時內掃描整個公共互聯網，顯示近 40 億在線設備的信息。掃描結果能顯示哪些網站無法防御特定漏洞。而在 FREAK 的例子中，掃描是為了在漏洞公開宣布前評估漏洞的威脅程度。

約翰·霍普金斯大學助理教授 Matthew Green、微軟的一個研究團隊、法國計算機科學與自動化研究所，以及馬德里先進技術研究院都就 FREAK 漏洞聯系了 ZMap 團隊。

Green 表示，掃描結果能幫助他決定向誰透露消息，確保漏洞公開不會將大部分互聯網置于危險之中。“我們之前都沒有過這么好的數據。這些數據能告訴我們，哪些網站對漏洞毫無防范，還可以告訴人們事情究竟有多糟糕。直到 Zakir 做了這次掃描，我才知道事情有多糟”，Green 說道。

Durumeric 及其同事在 2013 年末開發了 ZMap。在此之前，用軟件掃描互聯網需要耗時數周或數月。Durumeric 表示：“當時的工具比 ZMap 慢 1000 倍。”

給互聯網排毒

ZMap 的第一個高端項目是追蹤“心臟出血”漏洞的影響。研究人員們會定期掃描未修復漏洞的系統并發布一個受影響網站清單，以及如何修復漏洞的信息。

Durumeric 稱，此舉是為了迫使公司修復漏洞。該組織甚至還會發送自動郵件通知公司，告訴它們如何修復漏洞。受控試驗顯示，這些通知取得了顯著效果。

該團隊很快就會對 FREAK 漏洞進行類似的通知。他們也在掃描，以追蹤 FREAK 等漏洞得到修復需要多長時間。在“心臟出血”漏洞公開差不多一年后，前 100 萬個網站中依然有約 1% 沒有修復該漏洞。

安全公司 Rapid7 首席研究官 HD Moore 表示，這些知名漏洞未得到修復的主要原因之一是，這些公司沒有意識到這些漏洞的嚴重性。Moore 也用 ZMap 來掃描。“大多數企業至少對自己 10% 的公共互聯網資產完全不知情”，他說道。ZMap 掃描能幫助公司找到沒有修復漏洞的基礎設施。

Moore 在 2012 年時就開始用自己設計的軟件來掃描互聯網。現在他在 Rapid7 中運營著一個更正式的掃描項目，使用 ZMap 以及公司內部開發的軟件。

Green 表示，谷歌也已經開始進行互聯網掃描，結果將用來讓 Chrome 瀏覽器更安全地訪問存在安全風險的網站。

然而，像 ZMap 這樣的工具沒法發現所有漏洞。ZMap 能掃描使用 IPv4 協議的聯網設備，但卻沒法覆蓋使用 IPv6 協議的設備。ZMap 也無法掃描私密網絡內部，比如企業內網或移動網絡上的設備。

Green 稱，盡管如此，ZMap 和其他掃描軟件也能大致顯示互聯網基礎設施的狀態。和之前的糟糕狀態相比，我們正變得越來越好。