自2022年5月起，“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘，我们在坚持大原则、大框架、主体规则基础上，优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”，自拟每月主题，在诸子云知识星球做主题相关每日打卡，完成每月一篇原创。除了共同赢取10万元高额奖金，我们更要聚焦甲方关注，发掘最佳实践，弘扬分享精神，实现名利双收。本期发文，即诸子笔会月度主题来稿之一。

别让漏洞演变成灾难

     文 | 孙瑜

【孙瑜】

某互联网公司安全工程部，现负责研发安全，擅长软件设计和编码安全，STRIDE威胁分析。

1945年9月9日，美国海军中尉格蕾斯·哈珀（Grace Hopper）正带领她的小组构造一台名为“马克二型”的计算机。由于天气炎热，房间内没有空调，研究人员不得不在恶劣的环境下为电脑死机的原因绞尽脑汁，进过无数次的尝试。当事故原因被定位到第70号继电器时，哈珀才发现，原来是一只被压扁的飞蛾卡住了机器的运行。哈珀用镊子将飞蛾尸体夹到工作笔记里，历史上第一个bug实例由此诞生，bug也自此成为了程序缺陷的通用词。

这一偶然事件告诉我们：缺陷是不可避免的。据统计估算，每1000行代码中大约有1-50个bug，一般规模的信息系统包含代码行数大致在几十万甚至上百万行，如果达到操作系统的规模就更多了。例如Windows XP大概有4千万行代码，平均估算下来，Windows XP中大约有120万个bug。

程序是人编写的，缺陷就不可避免，然而，有些缺陷不会导致漏洞，或者不会导致可以被利用的漏洞。曾经有研究人员收集了2009年至2018年的漏洞数据，发现在已经公布的7.6万个安全漏洞中，只有4183个漏洞被利用，虽然这4183个安全漏洞就已经足以让大家蒙受巨大的损失了。

下面通过两个历史上臭名昭著的漏洞讲解让大家对漏洞的原理有直观的感受。

心脏滴血漏洞，这个漏洞的名字起的很形象，心脏说明漏洞的危害是致命的，滴血说明不是一招毙命，而是慢慢流血。

下面来分析一下漏洞的原理。

我们之所以能够放心地在互联网上发送各种消息，例如账号密码、聊天信息、转账交易等，都依赖于加密传输协议SSL\TLS，如果没有它，攻击者在信息发送者和信息接受者之间搭建监听设备，就可以截获通信数据的明文。SSL\TLS协议的开源软件实现包OpenSSL可以供软件开发者使用，心脏滴血漏洞就发生在OpenSSL上。

使用SSL的协议如下：

▶为了帮助大家理解漏洞的原理，笔者在这里举一个例子：

假设需要寄存个人物品，取回的时候要求每个人提供一个大小和物品相同的篮子给工作人员，如果有人没有遵守规定，提供了一个大于自己物品的篮子，工作人员发现篮子没有装满，就会误以为是自己的疏漏少拿了物品，于是把别人的物品也装进这个篮子。

心脏滴血漏洞的原理要比上面的例子复杂很多，但其根源是相似的，攻击者向服务器发送自己构造的HeartBeat心跳数据包，其中HeartbeatMessage的长度与payload_length进行匹配，若payload_length大于HeartbeatMessage的长度，服务器返回的response响应包中就会产生数据溢出，随机用服务器端内存数据填充多余的数据位，攻击者将数据dump下来就可以恢复服务器内存数据了。响应数据包最大是64kb，也就是说理论上可以造成最大64kb的数据泄露，心脏滴血漏洞每次随机泄露内存数据，只要攻击次数够多，总能够积累足够的数据，这就是“滴血”的由来。

心脏滴血漏洞的可怕之处在于影响范围广、被利用时间长，据某厂商的在线监控产品显示，仅国内就有33000台主机受影响，常用的电商平台、门户网站，如淘宝网、京东、网易、雅虎、支付宝、知乎、陌陌等无一幸免。更为可怕的是，漏洞从诞生到被曝光，经历了2年零20天，直到2014年4月9日，谷歌的研究团队和芬兰安全公司科诺康的安全人员才将它曝光，在此之前的两年多时间里，已经无法统计黑客到底偷偷收集了多少数据。

▶防范措施：

1、服务器尽快升级有漏洞的版本openssll 1.0.1、1.0.1a、1.0.1b、1.0.1c、1.0.1d、1.0.1e、1.0.1f、Beta1 of Open SSL 1.0.2等。2014年4月7日，Open SSL 1.0.1g版本修复了漏洞；

2、用户修改账号密码，以免黑客继续利用掌握的账号密码登陆其他平台，进而造成个人财产的损失。

操作系统漏洞的影响范围非常广泛，2017年4月14日晚，爆发了令人闻风丧胆的永恒之蓝漏洞，漏洞利用的是Windows操作系统的SMB协议的漏洞，只要存在漏洞的主机开机联网，攻击者就可以获得主机的最高权限。也就是说，可以执行管理员的一切操作，例如读写文件、创建账号、执行命令、监控屏幕，很多黑客利用此漏洞在用户电脑中创建登录账号，植入后门，长期控制电脑而不被发现。

然而令人没想到的是，仅一个月后，一场更大的灾难瞬间袭来。2017年5月12日，一款名为Wannacry的勒索病毒肆虐全球。Wannacry勒索病毒利用永恒之蓝漏洞潜入电脑，对文件进行加密，在打开文件时，弹出窗口提示用户支付赎金才能解密，如果文件没有备份，除了交付赎金几乎毫无他法，只要有电脑和网络的国家就难以幸免。

据悉，在Wannacry爆发的48小时内，就感染了全球100多个国家和地区，快速的传播能力得益于其网络蠕虫的自行复制传播方式，据统计，造成的经济损失高达80亿美元。

在Wannacry病毒爆发一年以后，瑞星通过对捕获的勒索样本分析发现Wannacry病毒家族占比39%，位列第一。尽管微软早已提供了升级补丁，依然有大量用户还未升级。

存在漏洞的系统就像没有上锁的门，随时可以被人打开，住在里面的人怎么会有安全感呢？安全漏洞管理一直是困扰安全人员的难题。

为了更好地了解当前企业劳动管理现状，安全服务公司NopSec日前针对426名企业安全管理者进行了专项调查，报告研究发现，仅有30%的受访者认为当前的漏洞管理计划是有效的。

影响企业漏洞管理计划（VMP）有效性最大因素是什么呢？调查结果显示是“企业的漏洞管理人才”。有经验的漏洞管理人才能够正确识别漏洞，判断是否存在漏洞利用条件以及漏洞的危险等级、造成影响等，才能进一步决定如何处理漏。这种人才的稀缺，致使很多企业不得不依赖软件供应商，不仅处于被动地位，而且无法保证安全性。

去年9月，由公安部、工信部、国家互联网信息办公室联合制定的《网络产品安全漏洞管理规定》正式实施，其中明确要求网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体，要提高漏洞管理水平，建立畅通的漏洞信息接收渠道，及时对漏洞进行验证并完成漏洞修补，防范网络安全重大风险事件发生。

根据熷熵定律，所有事物在无外力干预的情况下，都会趋于混乱无序。漏洞也是一样，企业的漏洞没有有效的管理手段，最终很容易演变成一场灾难！

2022诸子笔会  

【9月主题：查漏补缺】

刘志诚   张永宏  杨文斌  肖文棣  孙琦

【8月主题：红与蓝】

刘志诚  张永宏  王忠惠  孙琦

  肖文棣  孙瑜  杨文斌 陈圣 回顾

【7月主题：误区与陷阱】

刘志诚  张永宏  孙瑜  王忠惠  肖文棣  

朱文义  杨文斌  孙琦  陈圣  回顾

【6月主题：远程办公与安全】

王忠惠  于闽东  刘志诚  孙琦  朱文义

  张增斌  肖文棣  杨文斌  张永宏  孙瑜  陈圣 回顾

【5月主题：安全之变】

 王忠惠   张永宏  朱文义  于闽东  刘志诚  杨文斌 

 孙琦  孙瑜  半藏咸鱼  肖文棣  王振东  陈圣  回顾

2021首届诸子笔会

   颁奖 | 评优投票 | 1月盘点 | 12月盘点

11月盘点 | 10月盘点 | 9月盘点 | 8月盘点

7月盘点 | 6月盘点 | 组团 | 报名

齐心抗疫 与你同在