NSC2015杨冀龙:心脏出血漏洞看全球各国网络危机应急能力

大家下午好!和大家分享心脏出血液一般周年的漏洞,现在是一年零两个月了,我们现在每天还在追踪这个漏洞以及全球影响力。和大家分享这个漏洞整个过程。

1、漏洞说明

2、漏洞影响态势。

3、漏洞修复态势。

这个漏洞是央视第一个上央视的漏洞,以前说的都是关于病毒木马的通报,很少有关于漏洞的,这在安全漏洞里是第一次上央视引起社会广泛关注的,安全发展到今天,整个安全态势已经从传统病毒走向了漏洞的攻防。漏洞攻防也是整个安全领域核心之一,第二个应该是加密解密。

这是我们公司同事接受央视采访描述漏洞的危害,我认为这是跨纪元的危害。这个漏洞原理很简单,访问加密服务器时,这个漏洞会随机泄露64K的内存,刚才TK讲漏洞战争20年,这也是漏洞战争之一。泄露内存也什么多大的影响,但刷新你的内存,一直访问,假如刷1千万次,1亿次,每次都64K还是能刷出很多有价值的信息出来。

2003年我当时经常使用某个网上银行,这和另外一个漏洞很像,这个网上银行的特点是,每天查多少订单或支付订单,一般很快,5秒就刷出来了。晚上12点开始,数据库要开始做业务交换的交割,所以晚上服务器压力非常大的,你刷一下它1、2分钟会弹出一些结果,但经常会弹出别人的结果。所以,这是随意泄露别人的内存数据。而且影响面非常广,当时全球大型网络安全公司都受到影响。

一般的关注来说,HTTPS是我们经常登录加密的,其实漏洞不仅仅影响HTTPS,还影响邮件系统和企业的SMTP网关。以上数据来自互联网微博上的。国内一些著名厂商,直接是TPL-Password,在内存里反复刷,反复刷几千万次总会刷到,这是当时脱库登录的信息,这是另外一个领域,余额、密码、收益。这是购票系统、密码、用户名,填的问题,比如你的大学是什么?回答是北京吉利大学等等。

这是一些社交信息,这是一些邮箱信息、VPN系统信息,这是国外系统信息,虚拟机厂商的信息,这个影响面还是非常之广的。当时有个笑话,漏洞出现的当天,全中国的黑客要么在买硬盘,要么在买硬盘的路上。就是刷数据,至于数据怎么分析那是以后的事儿,先把数据弄回来再说。

二、漏洞影响态势。

有个问题,这个漏洞出现第一天全球受影响是什么情况呢?这个漏洞受灾面应该很大,但到底多大呢?各个情况是什么情况呢?各个行业什么情况呢?不太清楚的,漏洞危机往往是网络引起的,包括之前的用户事件,用户名泄露事件,它都是由漏洞攻防来的,利用它的漏洞把本来不应该黑客读取数据的数据库给读出来了。漏洞攻防是每次网络危机的一个导火索,每次漏洞攻防,比方SARS病毒爆发了,全球怎么样了亿,要有个态势。我们公司做了态势感知。第一天全球23万受影响,我们把全球受影响面用颜色深浅做标注,朝鲜之类就部首影响,美国受影响面积就比较广。从受影响面我们大概知道一个国家网络发达情况。重要的系统使用加密系统,不重要的系统不适用加密系统。我们能通过这个知道各个国家网络安全加密系统重要的信息多少和多广。这是全球受影响面的TOP35,根据图的面积大小,知道各个国家受影响面有多大。美国是第一,这是我们大家都知道的,当之无愧的,德国第二,比较神奇的是越南第三,英国第四,法国、荷兰、日本、台湾、台湾地区等等。我们大概知道,一个漏洞暴露了,全球受灾面大概是怎样的,我们心里就大概有个数了。为了对比中国陡变国家,我们叫亚太地区,欠发达地区和中等发达地区。

欧美国家是发达国家,我们看全球中等发展国家和欧美发达国家的对比。各抽十个,全球所有国家加在一起,面积也就刚好是美国。所以,可以从里面看到网络发展的不平衡性。发展中国家在互联网的发展,现在叫“互联网+”,叫触网,所有行业会转到互联网中,在所有国家触网过程中还有很多的事情可以做。

美国重要的信息系统,或加密使用的信息系统占了34%,中国占了1%,有一种说法,美国是中国互联网发达的34倍。还有一种重要的解读,中国还有重要的信息系统,但没有加密,所以不能这样算。换个角度来说,美国重要的信息系统注重安全性也是中国的34倍。

有问题之后,发生问题并不可怕,关键是应对问题才是最有效或是大家最关切的,互联网上埃博拉病毒一出现,人类发展过程中病毒出现或事件出现、危机出现是必然的,台风天天都有,这是司空见惯的,关键在于如何预警,如何感知态势做实时应对。发生问题是正常的,应急不力才是不正常的。看各个国家在网络漏洞修复态势上的情况,看全国前7天修复态势最上面的是HTTPS、邮件系统,最底下的是修复比例。到第七天全球还有很多受影响,这是第七天的全球漏洞图。

看这个数字,第一天和第三天对比情况,第一天把数据拉出来,第一天央视就已经大力报道了,按理说修复很高了,隔了一天大家都忙着修复漏洞,补救了,到了第三天应该补救好了吧。第三天数据拿出来,最好的是新加坡,新加坡影响第一次是21408,第三天是9173,它的修复率57%,全球网络应对能力第一。美国49%、澳大利亚46%,法国45%、越南43%、日本32%,马来西亚25%等等,中间省略了100个,然后到中国18%。中国的应对能力和中国的足球差不多一个水平。还有垫底的兄弟,韩国、台湾、俄罗斯、费率等等。所以我们也不能妄自菲薄。

三天内,周边和欧美20个国家的修复率,周边全球修复率平均40%,新加坡、美、澳、法、越、英国、加拿大超过40%,还有大量拉后腿的把数据拉下来了,日本、马来西亚、印尼也还是比较低的,只是比中国高。所以解读一下第一天和第三天平均比较全球修复能力是40%,一星期内的全球修复,我们把一星期做了对比,还是18%、8%、6%。因为全球修复率40%,我们来看这条竖线,我们横轴是修复慢和修复快,其实就是修复率,我们以40%为一条线来划这条线,国家影响面多和少,每个国家5万个,上面是大于5万个受影响的,下面是少于5万个受影响的,左侧是修复率小于40%的,右边是修复率好于40%的。

资产又多,修复率又快,所以美国处于这个象限,还有法国、英国等等;澳大利亚的影响面小一些,但修复率也非常快,非常注重安全,新加坡是全球修复率最高的。落后地区,像中国还好,韩国是垫底的,菲律宾也是垫底的。菲律宾、印度、荷兰、巴西、马来西亚、香港在第三象限,应该说中国还有很多可提高的余地。最终的解读是这样的。

这个漏洞我们每天都跟踪,关心一个漏洞生命周期,这和一个漏洞出现,像SARS出现我们肯定关注它的生命周期,一只受影响的。看生命周期第一天和第三天的情况,我们可以看各个行业哪个行业比较安全,修复率比较高。第一天哪些国家哪些系统修复工作,美国众议院、联邦贸易委员会它的军事装备提供商银行等等,还有电力、天然气承包商、石油运输公司、电信承包商等等第一天就做了安全修复。日本有电力所、银行系统、通讯公司和大学做了修复。

中国我们都能猜得到,基本上互联网发达厂商第一天做了应急响应,做了修复。这个漏洞我们监控它一下,前枕资是它的一周年,我们把一周年划了一次,一周年还有37.7万受影响,看起来还是很多,但还是好多了,全球修复已经到85%了,所以一年之内这个漏洞下降了85%。还有一些国家依然很坚强,像朝鲜地区仍然不受影响。

一周年之后,我们重新用二维图来看,中间横线以上还是5万受影响的,横线以下还是5万受影响的,右侧是修复率大于85%的,因为全球修复率85%,按照平均数来,左侧是全球修复率小于85%的国家和地区。这时候中国的情况有比之前还糟糕,一些国家和地区,像日本、加拿大都赶上来了。

我们把之前和之后两个图放在一起大概看几个点。日本以及台湾、德国已经上去了,其中中国还是不动。国家政策单位和意识还是需要提高的,一方面风险应急能力是国家的事儿,另一方面是企业的事儿,法律的事儿,还有公众意识的事儿,所以,从一个漏洞来看,中国互联网应变能力相比全球它是在下降的。所以,我们加强漏洞宣传、漏洞利率方面还有很多的工作要做。中国互联网上隐私数据越来越多,之前说漏洞泄露隐私信息还是非常多的。安全商漏洞修复意识还是要提高的,因为漏洞泄露隐私关系到我们每个人,所以里面有很多的工作可做。国家做行政机构,个人甚至服务商三方应该互动把漏洞问题进一步解决,而且通过感知能力,中国相比全球各国还是有很多发展空间。

看到刚才的象限图我还是非常高兴,说明我们的安全人员还是有这个意识,安全领域还是有价值的。谢谢大家!

上一篇:NSC2015腾讯于旸TK:内存战争20年

下一篇:NSC2015万涛:众声喧哗 没牙的老虎这些年