自4月7日以来因OpenSSL“心脏出血”漏洞引起的不安情绪仍在蔓延,安全厂商们的争论仍在继续,这些争论又进一步加剧了不安情绪的蔓延。
SSL是为网络通信提供安全及数据完整性的一种安全协议,此次OpenSSL爆出的漏洞被业内命名为“心脏出血”。此漏洞可以让攻击者获得服务器上64K内存中的数据内容,这部分数据中可能存有安全证书、用户名与密码等数据。
奇虎360副总裁谭晓生接受21世纪经济报道采访时表示,OpenSSL“心脏出血”漏洞是一个分水岭,在木马、流氓软件、钓鱼网站、病毒、漏洞威胁等信息安全威胁中,漏洞将上升为最主要的安全威胁,取代木马与流氓软件。
这是消费者们感知到的变化,而对于信息安全厂商来说,这一变化则是一场挑战:首先是产品模式发生了变化。在病毒时代,产品模式是盒装软件;在流氓软件与木马病毒时代,产品模式是联网云查杀;在漏洞时代,上述模式均将过时。
另一挑战则是商业模式的变化。盒装软件时代的商业模式要么盒装软件售卖模式,要么OEM厂商预装的软件授权模式;在木马时代与流氓软件时代是免费软件,通过免费软件获得用户,拥有海量用户之后,就可以做“流量批发商”。
从这个意义上说,即将上市的金山网络以及市值超过100亿美元的奇虎360都属流量批发商。
而漏洞时代的商业模式是什么?整个安全行业都需要思考这个问题。新的产品模式,新的商业模式,新的恐慌,杀毒厂商需要快速应变才不致落伍。
大恐慌
被命名为“心脏出血”的漏洞,黑客可以获取到以https开头网址的用户登录账号和密码、cookie等敏感数据。
目前多数SSL加密网站都是用名为OpenSSL的开源软件包,这也是互联网应用最广泛的安全传输方法,被广大网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用。据谭晓生说,“这使得很多用户都有可能受到攻击”。
4月9日上午,360网站卫士的OpenSSL漏洞检测平台发现,北京大学和清华大学某项网络服务存在“心脏出血”漏洞,同时也监测到来自北京联通的一个IP针对这些服务进行漏洞探测 ,360紧急通知清华大学和北京大学进行修复。
奇虎360提供的数据显示:360网站安全检测平台对国内120万家经过授权的网站扫描,其中有3万多个网站主机受漏洞影响;4月7日、4月8日期间,共计约2亿网友访问了存在漏洞的网站,超过30%的网站中招。
360已经第一时间向12万网站用户发送提醒邮件,提醒广大站长尽快将OpenSSL升级至 1.0.1g 版本,以修复该漏洞。
根据360的统计与跟踪,尽管OpenSSL“心脏出血”漏洞引起了大面积的恐慌,但目前还没有用户反映受到此次事件的影响。谭晓生说,此次OpenSSL“心脏出血”漏洞事件的影响将会在未来逐渐显现,且会长久持续。
谭晓生说,黑客通过“心脏出血”漏洞窃取数据,以64K为单位,一个包一个包地偷。SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。研究人员发现,可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。
黑客拿到这些数据后,需要放在一起进行分析,数据越多,价值越大。因此在短期内,黑客的目的是为了尽可能多地盗取数据,而不是利用已获得的数据。
除了PC网站之外,移动互联网同样广受其害。360尚未统计手机APP受漏洞影响的数量与比例,但谭晓生告诉记者,目前手机APP上使用SSL的比例达到50%。
手机病毒已经成为信息安全的重灾区。国家互联网应急中心(CNCERT)最新出炉的“2013年互联网网络安全报告”显示,去年一年手机病毒增加了3.3倍,达到70.3万个,而与用户经济利益密切相关的恶意扣费类和资费消耗类恶意程序占总数的85%以上,其中针对安卓系统的病毒占到病毒总数的99.5%,一些手机用户下载软件的平台,甚至主流应用市场中都被通报含有病毒应用。
病毒形态的变异
软件漏洞与生俱来,且无法消灭,这使得所有软件使用都将受到这一威胁。
谭晓生解释说:程序中有bug是很正常的,有些程序修改bug到一定程度后就会停止修改,在这软件开发上被称为已经进入“一种动态平衡”状态。在这一状态,改了旧的bug,就会引入新的bug,甚至引入的数量多过修改的数量。
谭晓生打了个比喻:当软件规模达到一定程度时,就会像一个用火柴搭起来的复杂建筑,一碰就会稀里哗啦地倒下,比如微软操作系统。
并不是所有漏洞都会被人发现。谭晓生表示,有些漏洞很快被人发现,有些漏洞可能长期存在,有些漏洞则从生到死都没有被发现。漏洞的危害很大,处理起来也很棘手,就像“心脏出血”一样,如果漏洞不堵,人就会死;但是堵上后会带来怎样的后果,用户也无从得知。
但漏洞必须得堵,因为马上死比慢慢死强得多。谭晓生认为,过去引发信息安全的是病毒、木马、流氓软件、钓鱼网站等问题,未来则来自各种漏洞。
谭晓生说:大家有多少年没碰到病毒了?病毒现在其实更多是一个概念了,木马、钓鱼网址基本绝迹。因为随着云计算技术的发展,杀毒变成了云杀,一个新的病毒、钓鱼网址会很快被发现。
过去一个病毒动辄传染上百万次,现在一个病毒刚刚出现就被消灭了,只能传播几次,或者十几次。导致的结果就是,开发病毒程序的成本不变,但每个病毒程序获得收益却几乎可以忽略不计,这样开发病毒的人自然减少。
对于流氓软件,随着立法的完善,流氓软件的作者会越来越多地承担法律责任,即使现在中国的立法比较滞后,但这方面的立法也会越来越严,包括偷取用户隐私弹出广告等,未来则要承担更多的法律责任,目前也已经大为减少。
未来的攻击会是两类:一类是基于漏洞的攻击,比如OpenSSL就是基于漏洞的攻击,包括微软操作系统、浏览器以及Adobe等应用软件都会被继续发现漏洞,一些使用OpenSSL的基础软件也会有漏洞,这些漏洞会产生大的安全事故。
另一类攻击则是Apt攻击,就是定点的攻击,而不是机关枪扫射式的攻击。这种攻击采用长期潜伏的攻击方式,通常是为了窃取重要的经济信息,获得的利润丰厚,造成的影响也巨大。这是“三年不开张,开张能吃三年”的玩法。
金山网络CEO傅盛出席博鳌亚洲论坛分析病毒行业的变化时说:网络安全由以前的反病毒为核心变为从服务端到客户端,从应用到协议的立体化安全问题。
傅盛说,十多年前电脑联网困难,所以当时的网络安全问题更多表现为本地病毒传播;现在设备联网是前提,所以服务端、web安全都变得更加重要。攻陷一个web服务就可能影响上千万人,对于黑客来说,投入产出比在千万台电脑上传播病毒高多了。事实上,过去一年有大量的密码被扒库的事件发生。
新商业模式
谭晓生说,过去的玩法是薄利多销,抓一只肉鸡最后卖几分钱或几毛钱,一个木马出去抓十万只肉鸡回来,乘以一毛赚一万块钱。现在定点攻击是固定攻击目标,就盯这一个点打,打下来之后把东西偷走,直接变现就是大单。
新威胁带来了大恐慌,谭晓生认为这一背景下的安全产业也将面临挑战。
谭晓生认为,在个人信息安全市场,已经形成免费软件主导的软件模式,经过激烈的市场竞争后,个人信息安全市场的厂商已经形成了资源较为集中的格局。这一市场主要由360、金山网络主导,有很强的资金、技术、人才资源。
企业级安全市场却是一个高度碎片化的市场。以中国为例,目前约有2000多家安全企业,产业销售额约为200亿元,其中最大的安全厂商去年营收约为9.9亿元,不到5%,平均每家企业营收不到1000万元。
而且企业杀毒是典型的“关系型业务”,面对的都是大客户,比如国企、部委,客户关系做下来了,单子也就拿下来了,而不是凭产品拿单。在这样的市场状况下,很多企业在人才、技术、资金方面都不强。
无论病毒、木马时代,还是流氓软件、钓鱼网址时代,需要的是即时快速反应,高度碎片化市场中的“弱公司”可以用态度满足客户的这一需求。
但接下来的情况发生了变化,除了即时快速的反应外,更需要强大的技术实力。因为无论是漏洞攻击,还是Apt攻击,黑客都具有很强的技术实力。如果安全厂商本身实力不够,根本无法阻击进攻。
面对这种高智力的黑客,此前那种靠软件、防火墙的方式已经失效。
未来企业级安全市场的格局会如何?一种是银行、电信这些行业的大公司,他们将建立强大的安全部门,通过云计算、大数据的方式获取来自网络的攻击,并随时对黑客攻击发起有力的反击,以保障业务持续正常的运转。
对于一些无力保护自己的中小型企业,360、金山网络这样的公司将建立公有云,将服务售卖给他们。
新的服务模式也会催生出新的商业模式。在木马、病毒、钓鱼网站时代,那种“流量批发商”的模式仍然适用于个人用户,但对于企业用户来说就不适用了,未来针对这一类客户,将以新的方式赢利,或者是按服务时长收费,或者阻击行为需要的人才、技术、资金投入来收费,或者其他收费模式