《漏洞》第3讲：互联网的漏洞是怎样炼成的？

第一章
善与恶：漏洞是造成危害，还是推动进步

第一节  漏洞，源自人性的缺陷
（一）天生缺陷，难免漏洞

互联网世界的“飞蛾效应”

在计算机领域，漏洞特指系统的安全方面存在缺陷，一般被定义为信息系统的设计、编码和运行当中引起的、可能被外部利用用于影响信息系统机密性、完整性、可用性的缺陷，英文单词是“vulnerability”。

但在日常生活中，人们经常用口头语“bug”来形容计算机程序中有漏洞，这与一只小飞蛾的故事有关。

20世纪40年代，美国海军中尉、电脑专家格蕾丝·霍波（Grace Hopper）的主要任务是编写软件，她曾为世界上第一部通用计算机MarkⅠ，以及后续机器MarkⅡ、MarkⅢ编写了大量软件。一次，她为Mark II的17000个继电器设置好程序后，技术人员进行整机运行，此时Mark II突然停止了工作。她在MarkⅡ计算机的继电器触点里找到了一只被夹扁的小飞蛾，正是这只小虫子“卡”住了机器的运行。霍波将这只飞蛾夹到工作笔记里，并诙谐地用“bug”来表示导致程序出错的原因。

但霍波没有想到的是，她这个举动，给单词“bug”赋予了一个新的含义，在未来互联网时代中，它成为指代程序缺陷的通用词。继电器里飞进飞蛾，本是偶然事件，但程序一定存在缺陷，一定会被有意或无意地利用，我想，这可以称作互联网世界的“飞蛾效应”。

漏洞是怎样炼成的

统计表明，程序员每写1000行代码，就会有1个缺陷，一个大型的IT应用系统，代码行数动辄几十万行，甚至更多。可以说，从世界上第一个操作系统或应用软件诞生的那天开始，缺陷就存在于IT系统的各个环节，而且始终会存在。

首先，漏洞是操作缺陷。

程序员编程序时的疏忽、运维人员设置安全配置时的不当操作、用户设置的简单口令和泄露……这些人为的、无意的失误就是操作缺陷。

比如微软每个月的第一个星期二叫补丁日，用户每个月都会收到提示，提醒你给系统漏洞打上补丁。在我印象里，微软每个月平均打的补丁有几个到几十个不等，这意味着微软每个月至少会有几个到几十个漏洞。

这些年，我们不断给微软、苹果、谷歌、Adobe、VMware等用户覆盖全球的软件公司提交漏洞。2017年，我们提交了519个漏洞，连续两年位居漏洞致谢数全球第一。

其次，漏洞来自认知缺陷。

漏洞会随着时间推移而产生，在其产生之前，我们对这个问题是没有认知的。比如2000年的“千年虫”危机。这个危机的根源始于20世纪60年代，当时计算机存储器的成本很高，如果用四位数字表示年份，就要多占用存储器空间，增加成本。

为了节省空间，计算机系统的编程人员采用两位十进制数来表示，比如1980年就是80，到1999年，80年出生就是99-80=19岁，20世纪90年代末，大家突然意识到，用两位数字表示年份将无法正确辨识公元2000年及其以后的年份，因为到了2000年，就会变成00-80=-80岁了。这无疑将引发各种各样的系统功能紊乱甚至崩溃，这就是所谓的“千年危机”，这一危机正是由于认知的局限性造成的。

还有一个典型的例子是2018年1月曝光的安全漏洞“熔断”（Meltdown）和“幽灵”（Spectre）。为了提高CPU处理性能，芯片企业用乱序执行(Out-of-Order Execution)和预测执行(Speculative Prediction)。通俗的理解就是，CPU并不完全严格按照指令的顺序来执行，而是会自己预测可能要执行的内容，以及为了更好地利用CPU资源将指令顺序打乱，以便能同时执行一些指令。

但设计者没有考虑到，或者没有认为这个问题是重要的，即：由于CPU缓存内容没有同步恢复到原始状态，导致缓存中存储的重要信息可以被漏洞利用者获取，可能会造成受保护的密码和敏感信息泄露。

这也是认知缺陷造成的。虽然当前还没有任何黑客们从漏洞中获取利益，但由于“熔断”和“幽灵”两大漏洞是芯片底层设计上的缺陷导致的，在短时间内无法从根本上消除漏洞，需要产业链一起携手解决。目前，英特尔、ARM、AMD、苹果、谷歌等企业以及产业链相关企业都在积极修复和更新软件，应对漏洞存在的安全威胁。

第三，漏洞是知识缺陷。

很突出的一个例子就是工控安全。原本的工业控制系统，大多以系统功能作为第一要素，多数系统在设计之初是封闭的“单机系统”，连联网需求都没有考虑过，就更不要提在设计、研发和集成阶段考虑网络安全问题了。物联网时代到来以后，这些工控系统都开始在互联网上“裸奔”，黑客可以轻而易举地利用系统漏洞进行攻击，造成严重后果：

2007年，加拿大一个水利SCADA控制系统被入侵，取水调度的控制计算机被破坏；
2008年，波兰某城市地铁系统被入侵，导致四节车厢脱轨；
2010年，伊朗核设施遭受“震网病毒”攻击，严重威胁核反应堆安全运营；
2011年，美国伊利诺伊州城市供水系统遭入侵，致使供水泵遭到破坏；
2012年，发现攻击多个中东国家的恶意程序Flame火焰病毒，能收集各行业的敏感信息；
2013年,以色列Haifa公路控制系统遭受黑客入侵,造成数千美元的损失和严重的后续问题；
2014年，黑客入侵土耳其某石油管道网络系统，导致石油管道大幅增压，发生爆炸；
2015年，乌克兰电厂被黑客入侵导致数十万户家庭断电，并在2016年被再次攻击导致断电；
2016年，全球首次大规模物联网攻击，导致美国东海岸大面积断网，严重影响当地人民生活秩序和社会稳定;
2017年，“永恒之蓝”勒索病毒肆虐全球，多个基础设施瘫痪……

国家工业信息安全产业发展联盟统计的数据显示，2016年至2017年，全球工业信息安全漏洞增长率超过50%，当下，我国工业控制系统95%以上存在漏洞，其中，65%属于中高危漏洞，33%属于高危漏洞。

（二）漏洞不等同于缺陷

并不是所有的缺陷都是漏洞，只有可以被外部利用的缺陷才称为漏洞。这句话可以换一个角度来理解，当利用缺陷的方法出现时，漏洞导致的现实威胁就出现了。就像“心脏滴血”漏洞，引发这个漏洞的缺陷在爆发前两年的版本中就已经静悄悄地存在，当黑客利用这个缺陷获取服务器里用户的敏感信息，影响了数据的机密性，就构成了漏洞。

2014年4月，全球爆发了一次严重的网络安全事件。黑客利用“心脏滴血”（Heartbleed）漏洞，可以获得用户的银行密码、私信等敏感数据。全球在线支付、电商网站、门户网站、电子邮件等重要网站纷纷中招。
“心脏滴血”好比互联网的心脏出了问题，从这个漏洞的名字就可以看出事件的严重性。黑客可以利用这个漏洞，向全球的网站发起攻击。也许有人会产生疑问，一个漏洞真的能引起这么大的危害吗？
原因在于这个漏洞存在于一个通用的安全套件——OpenSSL中。OpenSSL囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，在全世界各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站中被广泛使用。比如在浏览器地址栏常见的https前缀的网址以及小锁图标，通常就是指该网站经过 SSL 证书加密。
OpenSSL好比一把保护用户信息安全的锁，当它出现漏洞，就变成了一把废锁，不用钥匙都能打开。黑客利用这个漏洞每发起一次攻击，服务器就能泄露一点数据（理论上一次最多泄露64K）。黑客只要有足够的耐心和时间，就可以获得足够多的敏感数据。
当时，国内超过3万台主机受到波及。网易、微信、QQ邮箱、陌陌、雅虎、比特币中国、支付宝、知乎、淘宝网、京东、YY语音……从消费到通讯、社交，国内知名网站几乎无一幸免。
为了抢修网站中的漏洞，国内网站和安全厂商技术人员彻夜不眠。有的连夜测试有多少网站受到影响；有的统计漏洞信息，并向客户解释问题的严重性；有的开始紧急预警，及时修复升级系统版本……当然，全球的黑客也不睡觉了，因为他们要抢在安全人员补上这个漏洞之前，在全球的网站上偷取信息。幸好，OpenSSL官方很快发布了漏洞的修复方案。当天下午，淘宝、京东等网站就修复完毕。
其实，这个漏洞在两年前的版本中就已经静悄悄地存在，只是一直没有被曝光。直到2014年4月，谷歌一支研究团队和芬兰安全公司科诺康（Codenomicon）的研究人员曝光了这个漏洞，才引起人们的重视。
没人知道有多少数据已经被泄露，更没有人知道在漏洞存在的两年期间，有多少黑客利用这个漏洞发起过网络攻击。

“心脏滴血”漏洞是网络安全领域的一次标志性事件，它充分表明，虽然漏洞的本质是一种缺陷，但不完全等同于缺陷，当这个缺陷能被利用，进而产生安全性危害时，缺陷才成为了漏洞。

所以我说，缺陷是天生的，漏洞是不可避免的，网络攻击是必然的。


下期预告
本期主要讲解了在操作、认知、知识缺陷中漏洞是如何炼成的，以及为什么说漏洞和缺陷并不等同。下期继续连载《漏洞》第一章第二节，将深入探讨互联网的漏洞是怎么被利用的，敬请关注。

本期互动内容
您经历或听到的利用已存在的缺陷发起攻击事件是什么？
欢迎在文章下留言，让我们一起让这些漏洞成为推动自身及行业进步与完善的动力~~（互动彩蛋——留言得赞数最多者将获得《漏洞》一书，名额3）

附：《漏洞》目录（共十章，先透露前五章及细节）
前言

第一章 善与恶 漏洞是造成危害，还是推动进步
第一节 漏洞，源自人性的缺陷
天生缺陷，难免漏洞
漏洞不等同于缺陷
第二节 一切漏洞皆被利用
缺陷是怎么被利用的
内部威胁是最大的危害
第三节 左右互搏的自我革新
利用与反制，永无止境
博弈催生创新，矛盾推动进步

第二章 黑与白 是“黑产”魔高一尺，还是“白产”道高一丈
第一节 网络黑色产业
光明背后的阴影
传统犯罪网络化
网络犯罪花样化
“黑产”的四大趋势
第二节 网络白色产业
漏洞挖掘是“白产”发展的核心技术
漏洞防护是“白产”快反的高级手段
漏洞平台是“白产”打黑的基础设施
攻防大赛是“白产”聚智的重要平台
安全众测和实战攻防演习是“白产”推广的重要途径
“白产”的三大趋势
第三节 打造凝聚“白产”力量的平台
办法总比困难多，向安全从业者致敬
永不落幕的盛会，产业趋势的风向标

第三章 权杖之手 黑客是以武犯禁，还是侠之大者
第一节 黑客演化史
20世纪60—70年代：黑客诞生
20世纪80—90年代：黑客的分水岭
21世纪前十年：“新”黑客崭露头角
第二节 最牛的黑客传奇
世界上一“黑”成名的黑客
我身边的黑客
著名的黑客组织
第三节 黑客的宿命与使命
从幕后到台前
全民皆黑客
黑客精神与黑客使命

第四章 智能时代 新技术是漏洞帮凶，还是克星
第一节 “智能生活”的便利与威胁
当威胁就在身边
当科幻成为现实
第二节 智能时代的工业物联网安全
什么是工业物联网
工业物联网遭攻击的典型案例
工业物联网面临的安全挑战
工业物联网安全的四大趋势
第三节 云计算的安全困扰
云的传统安全威胁
云计算的新安全威胁
云建设需要形成三方制衡机制
第四节 人工智能技术在安全中的应用
什么是人工智能
人工智能在安全防护中的应用
智能时代解决安全问题的方法论

第五章 网络战场 漏洞是癣疥之疾，还是堪比核武器
第一节 网络战：愈发重要的战争类型
美国网络司令部升格获权“先发制人”
什么是网络战
曾经发生过的网络战
网络军备竞赛向全球蔓延
网络战的六大特点
第二节 APT攻击——网络战争最常用的攻击方法
针对性、持续性是APT的显著特点
我们所经历的APT
第三节 漏洞的储备与利用是军事现代化的必备能力
漏洞已经具备武器属性：网络武器仅次于核武器
漏洞的储备利用之战已经打响
实战与演练：网络安全靶场
军民融合：凝聚网络空间多元力量

再多透露一点点：
第六章 新战力 数据驱动安全
第七章 新战具 第三代网络安全技术
第八章 新战术 安全从0开始
第九章 新战法 人是安全的尺度
第十章 新方略 没有网络安全就没有国家安全
精彩持续，敬请关注！
看得不过瘾的小伙伴点击阅读原文直接下单也可以哦~~




阅读原文