新浪科技訊 北京時(shí)間4月17日上午消息，美國安全研究人員表示，目前還沒有任何證據(jù)能證明“心臟流血”漏洞對(duì)外公布前已經(jīng)被黑客利用。
　　自從“心臟流血”漏洞上周曝光后，所有人都在問同一個(gè)問題：是否有人在谷歌(556.54, 20.10, 3.75%)研究人員發(fā)現(xiàn)該漏洞前利用其發(fā)動(dòng)過攻擊。
　　從OpenSSL出現(xiàn)這一漏洞到被研究人員披露，中間時(shí)隔長(zhǎng)達(dá)兩年。而由于美國聯(lián)邦調(diào)查局(FBI)和谷歌等眾多政府機(jī)構(gòu)和互聯(lián)網(wǎng)公司都在使用這套免費(fèi)軟件，因此倘若黑客提前獲知該漏洞，便可利用其竊取密碼和用于破解加密數(shù)據(jù)的密鑰。
　　除此之外，與常規(guī)攻擊方式不同的是，利用該漏洞竊取信息不會(huì)留下作案證據(jù)。這便引發(fā)了人們的更大恐慌。
　　不過，美國勞倫斯伯克利國家實(shí)驗(yàn)室的研究人員表示，仍然有可能通過向存在漏洞的OpenSSL“心跳”代碼發(fā)送的消息長(zhǎng)度，以及發(fā)送給服務(wù)器的信息請(qǐng)求長(zhǎng)度來判斷該漏洞是否曾被黑客利用。
　　在利用該漏洞發(fā)起的攻擊中，響應(yīng)信息的數(shù)據(jù)長(zhǎng)度會(huì)大于請(qǐng)求信息。而由于“心臟流血”漏洞一次只能暴露64KB的少量信息，黑客可能會(huì)反復(fù)利用這項(xiàng)技術(shù)來搜集有價(jià)值的數(shù)據(jù)，從而生成更長(zhǎng)的響應(yīng)數(shù)據(jù)流。
　　上周，美國勞倫斯伯克利國家實(shí)驗(yàn)室與國家能源研究科學(xué)計(jì)算中心的研究人員，對(duì)1月底以來進(jìn)出其網(wǎng)絡(luò)的互聯(lián)網(wǎng)流量記錄進(jìn)行了檢查，但沒有發(fā)現(xiàn)任何可能與“心臟流血”攻擊有關(guān)的響應(yīng)數(shù)據(jù)。
　　不過，這項(xiàng)研究并不排除1月之前曾經(jīng)發(fā)生過“心臟流血”攻擊的可能。由于“心臟流血”漏洞最早出現(xiàn)在2012年3月，所以攻擊者仍有18個(gè)月的時(shí)間來利用這項(xiàng)漏洞。除此之外，黑客還有可能利用該漏洞在這兩家機(jī)構(gòu)的監(jiān)控范圍之外展開攻擊。
　　這兩家機(jī)構(gòu)的網(wǎng)絡(luò)流量涵蓋了數(shù)千套互聯(lián)網(wǎng)系統(tǒng)，他們還保留了長(zhǎng)達(dá)數(shù)月的網(wǎng)絡(luò)日志。美國加州大學(xué)伯克利分校計(jì)算機(jī)科學(xué)家沃恩·帕克森(vern Paxson)表示，倘若發(fā)生過大范圍的“心臟流血”漏洞掃描活動(dòng)，肯定可以被這些重要的互聯(lián)網(wǎng)樞紐記錄下來。
　　彭博社上周援引知情人士的話稱，美國國家安全局(以下簡(jiǎn)稱“NSA”)兩年前就已經(jīng)知曉了“心臟流血”漏洞，并對(duì)其加以利用。但NSA和白宮官員都已經(jīng)否認(rèn)此事。
　　不過，安全專家和執(zhí)法部門越來越擔(dān)心，黑客可能正在利用這項(xiàng)已經(jīng)公布一周的漏洞。本周二，一名19歲加拿大男子被控利用該漏洞竊取加拿大稅務(wù)局的數(shù)據(jù)。據(jù)悉，共有900名加拿大納稅人的信息因此被盜。


　　與此同時(shí)，美國密歇根大學(xué)的4位電腦科學(xué)家也在使用“蜜罐”技術(shù)了解黑客是否試圖利用“心臟流血”漏洞。他們已經(jīng)在3個(gè)蜜罐中發(fā)現(xiàn)了41個(gè)試圖掃描和利用該漏洞的團(tuán)體，其中有59%來自中國。
　　但這些攻擊行為都發(fā)生在該漏洞4月8日公布之后。這些科學(xué)家同樣沒有發(fā)現(xiàn)有人在漏洞公布前便對(duì)其加以利用的證據(jù)。不過，值得注意的是，目前還無法判斷這些掃描行為來自真正的黑客，還是其他研究人員。
　　互聯(lián)網(wǎng)管理公司CloudFlaire發(fā)起了一場(chǎng)競(jìng)賽，邀請(qǐng)世界各地的程序員從一個(gè)存在“心臟流血”漏洞的服務(wù)器上竊取密鑰。如果攻擊人員可以竊取密鑰，便有可能對(duì)加密內(nèi)容進(jìn)行解碼，并破解此后的通訊信息。來自波蘭和芬蘭的兩名研究人員花費(fèi)11小時(shí)完成了這一任務(wù)。
　　密歇根大學(xué)的科學(xué)家周一下午發(fā)現(xiàn)，按照最新統(tǒng)計(jì)數(shù)據(jù)，仍有140萬網(wǎng)絡(luò)服務(wù)器存在“心臟流血”漏洞。他們已經(jīng)在網(wǎng)站上列出了存在風(fēng)險(xiǎn)的網(wǎng)站列表，網(wǎng)址為：https://zmap.io/heartbleed/。(鼎宏)