研究稱 OpenSSL 漏洞公布前未遭受黑客攻擊

　　美國安全研究人員表示，目前還沒有任何證據能證明“心髒流血”漏洞對外公布前已經被黑客利用。

　　自從“心髒流血”漏洞上周曝光後，所有人都在問同一個問題：是否有人在谷歌研究人員發現該漏洞前利用其發動過攻擊。

　　從openssl出現這一漏洞到被研究人員披露，中間時隔長達兩年。而由于美國聯邦調查局(fbi)和谷歌等衆多政府機構和網際網路公司都在使用這套免費軟體，是以倘若黑客提前獲知該漏洞，便可利用其竊取密碼和用于破解加密資料的密鑰。

　　除此之外，與正常攻擊方式不同的是，利用該漏洞竊取資訊不會留下作案證據。這便引發了人們的更大恐慌。

　　不過，美國勞倫斯伯克利國家實驗室的研究人員表示，仍然有可能通過向存在漏洞的openssl“心跳”代碼發送的消息長度，以及發送給伺服器的資訊請求長度來判斷該漏洞是否曾被黑客利用。

　　在利用該漏洞發起的攻擊中，響應資訊的資料長度會大于請求資訊。而由于“心髒流血”漏洞一次隻能暴露64kb的少量資訊，黑客可能會反複利用這項技術來搜集有價值的資料，進而生成更長的響應資料流。

　　上周，美國勞倫斯伯克利國家實驗室與國家能源研究科學計算中心的研究人員，對1月底以來進出其網絡的網際網路流量記錄進行了檢查，但沒有發現任何可能與“心髒流血”攻擊有關的響應資料。

　　不過，這項研究并不排除1月之前曾經發生過“心髒流血”攻擊的可能。由于“心髒流血”漏洞最早出現在2012年3月，是以攻擊者仍有18個月的時間來利用這項漏洞。除此之外，黑客還有可能利用該漏洞在這兩家機構的監控範圍之外展開攻擊。

　　這兩家機構的網絡流量涵蓋了數千套網際網路系統，他們還保留了長達數月的網絡日志。美國加州大學伯克利分校計算機科學家沃恩·帕克森(vern paxson)表示，倘若發生過大範圍的“心髒流血”漏洞掃描活動，肯定可以被這些重要的網際網路樞紐記錄下來。

　　彭博社上周援引知情人士的話稱，美國國家安全局(以下簡稱“nsa”)兩年前就已經知曉了“心髒流血”漏洞，并對其加以利用。但nsa和白宮官員都已經否認此事。

　　不過，安全專家和執法部門越來越擔心，黑客可能正在利用這項已經公布一周的漏洞。本周二，一名19歲加拿大男子被控利用該漏洞竊取加拿大稅務局的資料。據悉，共有900名加拿大納稅人的資訊是以被盜。

　　與此同時，美國密歇根大學的4位電腦科學家也在使用“蜜罐”技術了解黑客是否試圖利用“心髒流血”漏洞。他們已經在3個蜜罐中發現了41個試圖掃描和利用該漏洞的團體，其中有59%來自中國。

　　但這些攻擊行為都發生在該漏洞4月8日公布之後。這些科學家同樣沒有發現有人在漏洞公布前便對其加以利用的證據。不過，值得注意的是，目前還無法判斷這些掃描行為來自真正的黑客，還是其他研究人員。

　　網際網路管理公司cloudflaire發起了一場競賽，邀請世界各地的程式員從一個存在“心髒流血”漏洞的伺服器上竊取密鑰。如果攻擊人員可以竊取密鑰，便有可能對加密内容進行解碼，并破解此後的通訊資訊。來自波蘭和芬蘭的兩名研究人員花費11小時完成了這一任務。

　　密歇根大學的科學家周一下午發現，按照最新統計資料，仍有140萬網絡伺服器存在“心髒流血”漏洞。他們已經在網站上列出了存在風險的網站清單。