NSA 早就知道 OpenSSL 存在漏洞?流量研究找不到相關證據

作者 | 發布日期 2014 年 04 月 17 日 8:23 | 分類 網路 , 資訊安全
password-heartbleed-thumb-v1-620x411

Open SSL 的 Bug 可說是有網路以來最重大的資安事件之一,據說是工程師在撰寫程式碼的時候犯了一個錯誤才導致這個 Bug 發生,由於這個漏洞已存在 20 個月之久,甚至傳出 NSA 早就知道 OpenSSL 漏洞存在的風聲。




彭博社於上周五援引兩名不具名人士的消息指出,美國國安局的「稜鏡計畫」早就知道 OpenSSL 存在相關 Bug ,並已經利用此 Bug 蒐集網路隱私資料近兩年之久,但此消息被美國國安局嚴正否認。

美國能源部所屬的勞倫斯柏克萊國家實驗室(Lawrence Berkeley National Laboratory)則利用監測資料提供不同看法;該實驗室由加州大學柏克萊分校管理,專門進行非機密研究,該實驗室原本就在進行網路流量研究,該研究紀錄成千上萬台網路系統的流量,這些流量資料可以保存數個月之久。

目前沒有任何有效的檢測或追蹤方法,可以找到任何伺服器被此漏洞攻擊的證據,但實驗室的安全人員則反向利用 Heartbleed 漏洞的特性查看紀錄:如果駭客利用 Heartbleed 的漏洞攻擊,一次只會露出 64 kB 大小的資料,因此攻擊者需要反覆利用此漏洞攻擊多次,才能夠獲得夠多有意義的數據。

就在這樣的前提下,安全人員以 64kb 開始尋找有任何可能與 Heartbleed 漏洞有關的漏洞,但他們沒有任何收穫。

但這個漏洞存在至少 20 個月之久,即使從一月到現在找不到相關的入侵蹤跡,也不代表這之前沒有人用過 Heartbleed 漏洞,或者是使用這個漏洞的人,並沒有入侵勞倫斯柏克萊國家實驗室所測量的的網域中,但至少可以證明這個漏洞被公布前拿來使用的情況,或許沒有非常嚴重。

目前仍然有許多網路伺服器沒有更新,很容易會遭受 Heartbleed 攻擊,密西根大學的研究員發現在美國時間星期一之前,還有 140 萬伺服器存有 Heartbleed 漏洞。

參考資料:Study Finds No Evidence of Heartbleed Attacks Before the Bug Was Exposed

圖片來源:ZDnet 

關鍵字: ,

發表迴響