原文标题《一洞观全球,从“心脏出血”漏洞修复看各国网络战防御能力》
作者:ZoomEye
http://www.zoomeye.org
新浪微博:ZoomEye
微信公号:wangzhan_anquan
Twitter:zoomeye_team
在真正的网络战打响之前,去评估各国的网络战能力是困难的。真实战争可以通过武器、作战人数、战略资源等去评估国家的作战能力,而网络战是无形且隐蔽的,我们很难去评估各个国家网络战时的攻击和防御能力。
此次的“心脏出血”漏洞,全球影响范围广,影响目标重要,影响危害大,且在技术上容易检测,为我们比较各个国家的网络战能力提供了一次非常难得的机会。
江湖上流传着一句名言:天下武功,唯快不破;在网络安全攻防对抗上亦是如此。“心脏出血”漏洞爆发后的前三天是黄金期,对于攻击者来说,是进行漏洞攻击的黄金期,攻击时间窗口非常短暂;对于防御者来说,是进行漏洞修复的黄金期,和攻击者进行时间赛跑,需要以最快的速度进行漏洞修复。
因此,“心脏出血”漏洞爆发后的前三天,可以说在整个全球范围,上演了一场真实的没有硝烟的网络攻防战。本文会通过全球各个国家应对此漏洞时的修复速度,解读各个国家网络战时的防御能力。
2014年4月7日,网上惊爆OpenSSL软件存在严重安全漏洞,漏洞编号为CVE-2014-0160。该漏洞危害大、影响广,犹如互联网的心脏出血,因此被称为“心脏出血”漏洞。
漏洞描述:
OpenSSL是目前互联网上应用最广泛的安全传输方法,利用数据加密技术保障互联网上的数据传输安全,确保数据在互联网上传输过程中不会被截取窃听,相当于互联网上销量最大的门锁。
而由于OpenSSL软件源代码中存在一个漏洞,使得攻击者可以获取服务器内存中64K大小的数据内容,这些数据内容包含用户隐私信息、用户明文口令、用户银行密码、电子邮件内容、重要商业文档等,漏洞使得OpenSSL成为无需钥匙即可开启的废锁。
漏洞影响:
众多互联网企业产品均受该漏洞的影响,包括国外的谷歌、雅虎、亚马逊和国内的淘宝、支付宝、微信、网易、12306铁道购票系统等,漏洞影响范围之广前所未有,使其成为历史上第一个被央视所报道的安全漏洞。
不光知名互联网企业产品受影响,每个国家的重要信息系统也会受该漏洞影响。OpenSSL软件本身是用于保障数据传输安全,国家重要的信息系统和重要的网络服务均会使用到OpenSSL软件,因此会受到该漏洞的影响。受影响信息系统的行业包括政府、电力、石油、通信、金融、科技等,受影响的网络服务包括隐私信息传输服务、邮件加密收发服务、V**虚拟网络服务等。
漏洞示例:
利用该漏洞获取12306铁路购票系统的用户名和密码。
利用该漏洞获取支付宝某用户的用户名、登陆token、手机号码、银行卡绑定信息、余额宝收益。
来自知道创宇的ZoomEye团队,在漏洞爆发后立即进行安全应急响应,评估该漏洞在全球网络空间的影响范围,以感知漏洞的影响态势。经过ZoomEye团队探测评估,漏洞爆发第一天,全球网络空间范围内受影响的网络设备数量为2,433,550。漏洞全球影响态势如下图所示,颜色越深代表该国家受漏洞影响的网络设备数量越多。
全球漏洞影响态势图
从图中可以看出,美国受漏洞影响的网络设备数量最多,说明美国的重要信息系统数量最多;非洲国家受漏洞影响网络设备很少,反映出其国家欠发达,信息化建设比较落后;中国西北部受漏洞影响网络设备很少,反映中国西北部的信息化建设也比较落后。
ZoomEye团队将中国周边和欧美20个地区的漏洞影响数量,进行统计对比,如下图所示。
20个地区的漏洞影响数量对比图
总结:
通过统计对比,美国受漏洞影响的网络设备数量约占全球34%左右,而受该漏洞影响的网络设备均为重要信息系统,因此也反映出美国重要信息系统的建设能力处于全球领先地位。
反观中国受漏洞影响的数量占比不足全球的1.5%,远低于美国,说明国内重要信息系统建设不够发达,与中国的国际地位严重不符,我国仍需要大力发展信息网络时代的基础建设。
在漏洞爆发后的一周时间内,知道创宇的ZoomEye团队针对全球网络空间进行漏洞影响范围的持续检测,评估漏洞影响数量,以感知全球网络空间的漏洞修复态势。
修复数量和修复率:
下图是一周时间内,全球受漏洞影响网络设备数量的趋势图,整体是不断下降的,表明全球各国在进行漏洞应急响应,对漏洞进行修复,以保证自身信息系统的安全性。
一周时间内全球范围漏洞修复趋势图
江湖上流传着一句名言:天下武功,唯快不破;在网络安全攻防对抗上亦是如此。无论是漏洞攻击者还是漏洞防御方,在漏洞爆发之后,都会尽快的去做自己该做的事情:漏洞攻击者针对目标进行漏洞攻击,漏洞防御方针对自身系统进行漏洞修复。漏洞爆发后的前三天时间对于双方均是黄金期,我们就拿漏洞爆发后第一天和第三天的漏洞影响数量进行比较,来计算漏洞修复率。
ZoomEye团队针对中国周边和欧美20个地区进行统计,对比漏洞爆发第一天和第三天的各国漏洞影响数量,获取每个国家的漏洞修复率。通过修复率的对比,可以真实反映出各个国家面对此次严重漏洞时的反映能力,也侧面反映了各个国家在网络战时的防御能力。
20个地区的漏洞修复率对比图
从图可以看出,第一天和第三天的漏洞影响数量进行比较,全球的漏洞修复率为40%;新加坡的漏洞修复率最高,达到57%;美国的漏洞修复率仅次之,为49%,排名第二;而中国的修复率为18%,低于全球平均水平,全球排名仅102位。
修复行业:
ZoomEye团队针对美国、中国台湾、日本三个地区第一天进行漏洞修复的信息系统,进行行业调查,发现这三个地区第一天完成漏洞修复多数为重要行业的信息系统,如下面的列表所示。而我国第一天完成漏洞修复的多数为大型互联网企业,例如阿里和腾讯等,国内重要行业信息系统的修复速度较慢,多数在三天后才开始进行漏洞修复。
下面是一些示例:
美国-政府:
美国-军事:
美国-金融:
美国-电力:
美国-石油:
美国-通信:
中国台湾-教育:
中国台湾-通信:
日本-政府:
日本-金融:
日本-石油/钢铁/通信:
日本-教育:
总结:
应对重要漏洞安全威胁时的修复速度,反映出国家在抵御重要网络威胁、应急重要网络事件时的反应能力,也可以侧面反映出未来发生国家级别网络战时,各个国家的网络防御能力。
通过“心脏出血”漏洞的修复速度来看,我国的修复速度仅列全球第102位,说明网络安全应对能力还很弱,需要提高安全意识,提升应急响应能力和整体的安全防御能力。