有 个 搜 索 引 擎 ， 专 门 看 你 的 电 脑 是 不 是 安 全

去 年 公 开 的 “ 心 脏 出 血 ”（Heartbleed bug） 漏 洞 ， 受 影 响 的 前 100 万 个 网 站 中 依 然 有 约 1% 没 有 修 复 漏 洞 。 上 周 ， 安 全 公 司 SEC Consult 公 司 发 现 ， 由 于 思 科 、 华 为 、 通 用 电 气 等 公 司 没 有 给 每 一 个 设 备 分 配 唯 一 的 加 密 密 钥 ， 而 是 一 直 偷 懒 重 复 使 用 ， 导 致 有 320 万 台 设 备 具 有 被 劫 持 的 风 险 。 SEC Consult 是 通 过 搜 索 引 擎 Censys 发 现 这 些 电 脑 的 ， 他 们 分 析 了 4000 多 款 不 同 的 设 备 ， 在 上 面 找 到 580 个 密 钥 ， 随 后 他 们 将 这 些 密 钥 放 在 Censys 上 搜 索 ， 发 现 大 多 数 设 备 都 很 有 可 能 被 攻 击 。 Censys 是 密 歇 根 大 学 的 研 究 人 员 推 出 的 开 源 项 目 ， 专 门 用 来 搜 索 容 易 出 现 漏 洞 被 攻 击 的 电 脑 。 每 天 Censys 都 会 通 过 一 个 叫 ZMap 的 软 件 来 扫 描 抓 取 互 联 网 上 的 数 据 ， 显 示 互 联 网 上 超 过 40 亿 个 IP 地 址 的 数 据 ， 扫 描 结 果 能 显 示 哪 些 网 站 无 法 防 御 特 定 漏 洞 。 每 过 几 个 小 时 ，Censys 就 会 更 新 一 次 ， 收 集 到 的 数 据 可 以 显 示 来 自 什 么 设 备 ， 是 否 采 取 了 加 密 密 钥 等 信 息 ， 通 过 Censys 搜 索 相 关 的 软 件 和 配 置 细 节 ， 就 可 以 知 道 某 个 安 全 漏 洞 涉 及 的 设 备 有 多 少 ， 都 分 布 在 哪 里 等 。 用 Censys 搜 索 “ 心 脏 出 血 “ 漏 洞 据 负 责 这 一 项 目 的 研 究 人 员 Zakir Durumetic 介 绍 ， 他 和 同 事 经 常 会 扫 描 互 联 网 发 现 新 问 题 ， 今 年 三 月 ， 他 们 的 扫 描 行 动 发 现 了 一 个 重 大 加 密 漏 洞 ， 其 中 涉 及 到 Google、Facebook、 苹 果 、FBl 等 500 万 个 网 站 。 随 后 他 们 就 建 立 了 Censys—— 试 图 让 互 联 网 更 安 全 ， 这 个 项 目 还 得 到 Google 支 持 ， 帮 忙 提 供 基 础 设 施 。 然 而 大 多 数 互 联 网 公 司 没 有 意 识 到 网 络 漏 洞 的 重 要 性 ， 去 年 发 现 的 “ 心 脏 出 血 ”（Heartbleed bug） 漏 洞 —— 一 个 出 现 在 加 密 程 序 库 OpenSSL 的 程 序 错 误 ， 公 开 差 不 多 一 年 后 ， 前 100 万 个 网 站 中 依 然 有 约 1% 的 网 站 没 有 修 复 该 漏 洞 。 利 用 Censys 和 ZMap 扫 描 ， 能 帮 助 公 司 找 到 没 有 修 复 漏 洞 的 基 础 设 施 ， 目 前 Google 也 已 经 开 始 进 行 互 联 网 扫 描 ， 帮 助 Chrome 浏 览 器 在 减 少 访 问 存 在 安 全 隐 患 网 站 的 风 险 。 题 图 来 自 ： cultofmac