关于“心脏出血”漏洞,是因为多数SSL加密的网站都使用名为OpenSSL的开源软件包。本周一,研究人员宣布这款软件存在严重漏洞,可能导致用户的通讯信息暴露给监听者。
“心脏出血”漏洞被公开之后,一部分雅虎用户数据在一天之内遭到泄露,雅虎发言人表示:“我们的团队已经在雅虎的主要资产中(包括雅虎主页、雅虎搜索、雅虎电邮、雅虎财经、雅虎体育、雅虎美食、雅虎科技、Flickr和Tumblr)成功部署了适当的修复措施,我们目前正在努力为旗下的其他网站部署修复措施。“
亚马逊也发布了类似发言表示正在部署修复。但是苹果、微软这样坚持推行商业软件而不是采用开源软件的公司暂未中枪。
出现互联网世界如此大面积安全问题的根本原因还在于:当今最热门的两大开源网络服务器Apache和nginx都使用OpenSSL。这两种服务器约占全球网站总数的三分之二,包括大量热门的网站。
机会一、“心脏出血”漏洞导致重新审视开源软件,全球主要IT服务器将被推动重新采用付费的商用软件,而大量开源项目也会面临转付费项目的机遇。
20世纪80年代,自由软件运动拉开序幕,开源软件的积极发展推动了应用程序的一个“黄金时 代”。计算机软件生来就是开源和免费的。1976年2月3日,比尔·盖茨发表了著名的《Open Letter to Hobbyists》(致电脑业余爱好者的一封公开信),提出了软件“版权”(Copy Right)的概念,正式宣告进入商业软件时代,随后商业软件领域崛起了一个个巨无霸。
开源软件曾一直受到商业软件的强力压制,但是几乎每一款成功的商业软件背后,总有一款比较成功的开源软件,如Linux之于Windows,MySQL之于Oracle,商业软件过高的价格是开源软件令“野火烧不尽,春风吹又生”。微软鲍尔默曾将开源与Google和苹果并称为微软的三大劲敌。
然而,随着软件日益互联网化,开源软件在一些领域开始超越商业软件。
在排名前1000的高流量网站中,开源服务器软件Nginx占据了34.9%,已经取代了Apache(34.5)第一名的位置。将范围扩大到前百 万网站时,Nginx已超过Microsoft,位列第二。全球范围内,有上亿个网站使用了Nginx,大约占14.55%。类似Netflix、 Hulu、Pinterest、AirBnB、WordPress.com、GitHub、SoundCloud、Zynga、Evenbrite及Zappos这些网络重量级公司都使用了Nginx来服务他们的网站。
Apache开源技术则是近十年改变全球IT世界的重要力量,Apache HTTP服务器项目主要致力于为现代操作系统开发和维护开源的HTTP服务器,其中包括Unix和Windows NT。自1996年4月以来,Apache就变成了互联网上最流行的Web服务器。连续18年,Apache HTTP服务器都是全球Web服务器的领军者,为上亿个网站提供服务。
以下是淘宝网对采用 Nginx的说明:淘宝网是亚洲最大的电子商务网站,每天访问淘宝网的PV超过了几十亿。大压力的访问,对淘宝网的Web服务器提出了严苛的要求。经过一系列的对比,我们最终选择了Nginx作为我们的Web服务器,因为它性能高,又非常节省资源(CPU和内存),并且有足够的灵活性。
雅虎、Google、亚马逊、Facebook等互联网新霸主,都大量采用免费的FreeBSD、Linux、Apache Web Server等开源软件搭建自己的系统,在开源软件的“哺育”下崛起的。开源软件有助于他们成本降低和技术水平提升。
但是,应该看到本次“心脏出血”漏洞反映出基于开源软件构建的IT世界不堪一击!全球2/3网站采用当今最热门的两大开源网络服务器Apache和nginx,此次全部中招!
开源社区的本质允许IT人员来检查一个产品的源代码,改善或改变代码。 “心脏流血”带来的最重要的教训“这些漏洞都比较隐秘,如果只是看代码的话,是无法发现。这次是因为谷歌检测程序足够严格,发现了这个漏洞,但是对于任何依赖开源安全软件的网站来说,都应该进行反思为什么开源软件如何脆弱和不堪一击。
这次罪魁祸首OpenSSL软件是套开放源代码的SSL套件,其函式库是以C语言所写成,实作了基本的传输层资料加密功能。OpenSSL软件是以 Eric Young以及Tim Hudson两人所写的SSLeay为基础所发展的,但是SSLeay随着两人前往RSA公司任职而停止开发。1998年12月23日发布第一套 OpenSSL软件版本,此后大概两年更新一次版本。
目前这场安全风波给2/3的全球网站带来安全漏洞,教训已经很明显。但是尽管有2/3全球网站使用OpenSSL,这项开源的协议在过去的岁月中因 为缺乏足够的资金进行发展,一直进展缓慢。OpenSSL大约两年前就已经存在这一缺陷,但是因为缺少严格的测试而没有被发现。
当目前网站出现安全问题,由于不是付费的商业软件,网站根本找不到相关负责人,只能依靠自己的技术力量进行补漏,这不仅浪费时间而且不是每家网站都有这样的技术力量来补漏。
Red Hat 、SUSE等开源软件公司都已推出商业版本,2013年8月开源服务器软件Nginx也发行了其商业版本。此次令全球互联网公司手忙脚乱的安全事件发生后,不仅推动全球市场商业软件的普及,而且预计开源项目转推商业版本也将掀起新的高潮。
机会二、微软宣布对XP停止服务,给中国安全软件企业及自主研发操作系统带来巨大商机。
互联网数据中心报告显示,XP在没有更新的情况下,其病毒感染几率是Win8的6倍。XP的停止服务意味着用户的电脑放弃构筑“防御工事”,而网络攻击者们却可以不断发现用户电脑的漏洞,研发更先进的“武器”,进行更有针对性的攻击。有企业IT管理人员担心最怕的是发生爆发冲击波、震荡波之类的蠕虫病毒。
这令人想起2008年微软在中国就曾弄出了一个“黑屏事件”。那年10月微软宣布:10月20日开始推出的新一轮正版增值计划,如果用户没有通过WGA验证,XP用户开机进入后桌面背景将变为纯黑色,用户可以重设背景,但每隔60分钟将再度黑屏。
微软的“黑屏”事件后中国计算机用户将目光转向国产的“开源软件”和网络安全软件的发展,半年时间国产的Linux操作系统和Office(For Linux)办公软件个人版的总下载量已突破百万次。同时推动了金山、腾讯、百度等多家公司推出面向普通用户的网络安全软件。华为、中兴等公司也纷纷进入企业级的网络安全领域。
此次,Windows XP的“退役”恰好为中国网络安全提出了严峻考验,也提供了新的契机。微软停止服务之后不提供补丁服务,但是安全软件可以通过与Windows 7等操作系统平台进行对比,分析出文件差异,得出漏洞可能出现在哪里,而做出自制的补丁,通过不断打补丁进行加强。国内仍在使用XP系统的用户逾2亿,市 场预计将给国内安全软件领域带来超过300亿元以上规模的需求。安全软件的市场除涵盖政府、能源、电信、金融等大型客户,目前也在迅速向小企业及个人用户扩展。
此外,这也给发展中国自主产权的操作系统带来重大机会。中国2亿多的XP用户中大量政府、企业、金融用户,提供了一个广阔的廉价、安全新操作系统的需求市场。“斯诺登事件”已过去大半年时间,然而给全球互联网带来的震撼仍未停息,世界各国也纷纷进行反思和采取措施,一些国家还竞相掀起新一轮网络安全“保卫战”,切实加强本国网络空间安全,现在是中国需要借此机会彻底改变电脑安全受控于美国企业和美国政府的机会。
2006年,微软推出了Vista操作系统,宣传要用户电脑付费升级。当时专家评估确认,Vista的架构会使用户电脑被微软高度掌控。在 Vista电脑上,没有得到微软的授权,不仅一些软件不能运行,用户也不能自己能改系统,改一个bit,电脑就不能动,电脑的控制权完全在微软手里。根据 这些意见,中国政府采购目录中没有列入Vista。而据相关专家分析,windows 8和Vista是同类架构,windows 8不可控的程度更超过Vista,因为其还捆绑了微软的杀毒软件,更是无时无刻都在检查用户电脑,随时可以给用户电脑下载补丁,而用户都无从知道。
微软是美国棱 镜门事件中的“八大金刚”之一(向美国国家安全部门泄漏企业和个人信息),通过此次微软停止XP服务之际,彻底在中国政府、金融和关键行业企业用户中放弃 微软产品,发展中国自主研发的操作系统,并发展起本土开发商提供的应用和服务,都是非常好的契机。而且可以有效拉动内需,促进国内软件行业的大发展。
4月8日一个是对全球互联网界产生安全问题的重大事件“心 脏出血”漏洞,一个是微软停止对XP服务给2亿多中国XP用户带来重大安全影响,虽然都是不好的事件,但是却给全球和中国软件业带来重大的发展机会。推动 全球商业软件的发展,开源软件推商业软件,以及加快中国自主操作系统市场化的进程、中国安全软件大发展等都带来重大机遇。
------“创意首发”,全球最新创意首发,中国最新原创首发,设计师创业联盟,创意欣赏,创意点亮科技!创意首发,新浪微博号@创意首发,网站:http://chuangyishoufa.com/
老男孩生活圈公众微信:cooboys ,免费创业、企业管理、职场发展、亚健康咨询,提供创业、企业管理、职场发展、健康、创新方面原创文。老男孩生活圈手机APP,还可提供职场发展、创 业攻略、心理健康等在线测试功能。网站www.cooboys.com,新浪微博@老男孩生活圈
