1. 背景情况
背景信息1:首先回顾3条新闻
[新浪科技讯]4月8日晚间消息,安全协议OpenSSL今日爆出本年度最严重的安全漏洞。此漏洞在黑客社区中被命名为“心脏出血”,利用该漏 洞,黑客坐在自己家里电脑前,就可以实时获取到约30%https开头网址的用户登录账号密码,包括大批网银、购物网站、电子邮件等。
[光明日报]据统计,仅7日、8日,就有共计约2亿网友访问了存在OpenSSL漏洞的网站,但其中有多少人被盗取信息仍是未知数。
[外媒] 加拿大官员周三表示,上周对国税部门发起“心脏出血”漏洞攻击,并成功窃取900位公民隐私数据的黑客目前已被抓到。首位“心脏出血”攻击者被捕。
小结一下:最近有一个极其严重的安全事件发生,关系到我们每个人,我们将为此遭受到什么损失还难以预测,但真真切切已经有人开始为此买单了。(IP、IC、IQ卡,赶紧修改你密码)
背景信息2:什么是OpenSSL?
SSL是一种基于加密的安全通信技术,OpenSSL是一种开放源代码的SSL实现。(其实就是计算机上用的密码锁)
因为源代码都是公开的,OpenSSL应用特别广泛,“毫无保留”的态度往往容易取得大家的信任。
大家看过魔术表演吧,有时不能完全相信表面看上去真实的东西。
背景信息3:“心脏流血”是一个什么漏洞?
SSL标准包含一个“心跳”选项,通信双方可以通过互相发送短消息来告知对方“人在呢”,以便在不传输数据时也保持连接。“心脏出血”漏洞就 是,如果发送精心设计的特定信息,可以使对方因“精神错乱”而提供内存中的一段数据,如果不断这样“刺激”对方,就能获得大量内存数据,从而可能获得敏感 信息。
(其实就是暗号机制有问题。暗号“鸡肋”,回答“明白”。你要说“鸡翅”,他就晕了,然后可能告诉你晚上和谁约会。)
背景信息4:谁发现的这个问题?
Google的码农,4月7号发现的,媒体4月8号晚公布的。据说“为了将影响降到最低,研究人员已经与OpenSSL团队和其他关键的内部人士展开了合作,在公布该问题前就已经准备好修复方案。”
大家有没有觉得这个过程其实是很有问题的?
小结:受害者都是最后知情,或永远不知情。
背景信息5:危害有多大?
全球有2/3的网站使用OpenSSL安全协议,这个漏洞出现于2012年,只是最近被发现,因此目前有2种可能的情形出现:
(1)如果你4月7号之后用过网银、电商、翻墙的VPN,那么可能已经中奖了。
(2)其实不必担心,因为我们的账号密码早在2012年就被偷了。
小结:以后看你还敢再上网!
背景信息6:如何善后处理?
相当麻烦。
(1)检查有哪些存在该漏洞的服务器,升级或者卸载openssl系统。如果继续使用,还要修改系统安全证书的私钥。
(2)看看最近哪些用户使用过,通知大家改密码。(2亿人需要修改密码,盛况空前。)
(3)以后每次新上线服务器时,都要记得检查有没有这个漏洞。(以后不用了?好主意)
小结:痛苦吧!
2. 问题和观点(举例说明,深入浅出,贴近受众)
视点1:最危险的地方也许最安全,反之亦然
这是有史以来效率和效益最高的安全攻击,因为攻击对象是戒备森严的系统。(高墙大院财宝多)。
我们常说大隐隐于市,最危险的地方也许最安全。反之,最安全的地方也许最危险。这个漏洞只出现在最注重安全的系统上。(如果你的钱放在保险箱里,那就丢了;如果藏在破棉被里,反而没什么风险。)
由此想到,我们的安全内网,也一定是别人不惜代价下手的目标,而我们自认安全的时候,可能早已被“拿下”了。
小结:还是走群众路线好。
视点2:发现漏洞而不是出现漏洞
这个漏洞出现于2012年,只是最近被发现,出现和发现有本质不同。而且,真的是最近才有人发现吗?关键是,还有多少类似“没被发现”的漏洞?
不寒而栗吧。
小结:受害者都是最后知情,或永远不知情。
视点3:“有人儿”很重要
漏洞“被发现”是4月7号,媒体4月8号晚公布,大家一般4月9号才知道吧,处理完了4月10号吧,处理已经实际失去了关键意义。
如果圈里“有人儿”,提前知道消息,情况就不一样了。所以搞网络安全,得黑白2道“有人儿”,否则会不断成为“笑话”
小结:关系是第一生产力
视点4:低级的漏洞还是高明的后门
这个漏洞是系统设计和开发的失误吗?如果是,太低级了,专业安全系统开发团队不该出现这样的问题。
如果不是,太高明了,开放全部源代码,都能隐藏住这样的后门,值得膜拜。(就象近景魔术,似乎什么都能看到,但还是走眼了)
小结:还能相信什么?
视点5:被动防御还是主动出击
安全漏洞似乎是补不干净的,总有百密一疏吧,单纯被动防守只能是防不胜防。
攻击是最好的防御,或者换一种说法,威慑是最好的防御,想象一下,诸位都不是武林高手,人身安全的漏洞貌似很明显啊,为什么还颇有安全感呢?
因为有一个承诺安全的社会环境,侵害他人的后果真的很严重。
小结:网络安全体系设计需要重新考虑,网民自己扛不动安全,呼唤安全的网络环境。
视点6:生活还将继续
现实虽然残酷,还要勇敢活下去,不能因噎废食。正视网络安全危险无处不在的客观事实,注意保护自己,然后继续享受互联网带来的乐趣吧。
3.总结
“心脏流血”是一次突发事件,但似乎不同以往,总感觉它会“触发”些什么,正如很多重大变革都始于某个突发事件,“血xie”不能白流,网络空间时代在呼唤新的安全秩序。