Undersöka hela Internet efter svaga punkter

När ett stort fel i krypteringen som säkrar webbplatser avslöjades i mars, Zakir Durumeric , en forskare vid University of Michigan, var den första personen att veta hur allvarligt det var. Genom att göra en skanning av varje enhet på Internet insåg han dess fulla potential redan innan forskarna som först hade identifierat felet, känd som FREAK .





Det fanns frågor om det korrekta sättet att svara innan vi gjorde skanningen, säger Durumeric.

Skanningen visade att mer än fem miljoner sajter påverkades, inklusive de som drivs av FBI, Apple och Google. Facebooks gilla-knapp, en fixtur på många populära webbplatser, var också sårbar. Resultaten föranledde ett brådskande, noggrant försök att informera nyckelföretag och organisationer innan problemet offentliggjordes.

FREAK-felet tillåter en angripare att bryta en säker anslutning mellan en webbläsare och en sårbar webbplats och få tillgång till krypterad data som skickas mellan de två. Attacken fungerar genom att tvinga en webbplats att falla tillbaka till en svag form av kryptering som mandaterades av den amerikanska regeringen på 1990-talet.



Durumeric leder ett team av forskare vid University of Michigan som har utvecklat skanningsprogram som heter ZMap . Det här verktyget kan undersöka hela det offentliga internet på mindre än en timme och avslöja information om de cirka fyra miljarder enheterna online. Skanningsresultaten kan visa vilka webbplatser som är sårbara för särskilda säkerhetsbrister. I fallet med FREAK användes en skanning för att mäta omfattningen av hotet innan felet offentliggjordes.

ZMap-teamet kontaktades av Matthew Green , en biträdande professor vid Johns Hopkins University som hade blivit varnad för FREAK av dess upptäckare, ett team av forskare från Microsoft, French Institute for Research in Computer Science and Automation och Madrids IMDEA Software Institute.

Green säger att skanningsresultaten hjälpte honom att bestämma vem som behövde tipsas, vilket säkerställde att tillkännagivandet inte skulle lämna stora delar av Internet i fara. Vi har inte haft så bra data tidigare, säger Green. Du kan ta reda på exakt vem som har gått sönder och tala om för folk exakt hur illa något är. Det var när Zakir gjorde den skanningen jag visste att det här var dåligt.

Durumeric och kollegor utvecklade ZMap sent under 2013. Innan dess tog programvaran som användes för att skanna internet veckor eller månader att slutföra jobbet. Befintliga verktyg var tusen gånger för långsamma, säger Durumeric.

Det första högprofilerade projektet för ZMap var att spåra effekten av Heartbleed-buggen, ett fel i en mycket använd webbkrypteringsmjukvara som hittades i april 2014 (se Många enheter kommer aldrig att korrigeras för att fixa Heartbleed ). Forskarna skannade regelbundet efter system som är sårbara för buggen, och publicerat en sida listar de mest populära opatchade webbplatserna tillsammans med information om hur du åtgärdar problemet.

Durumeric säger att detta försök hjälpte pressa företag att fixa sina system. Gruppen skickade till och med automatiserade e-postmeddelanden som informerade företag om att de hade sårbar infrastruktur och erbjöd vägledning om vad de borde göra. Kontrollerade experiment visade att aviseringarna gjorde en mätbar skillnad, säger Michael Bailey , en professor vid University of Illinois i Urbana-Champaign som också arbetar med projektet.

Teamet planerar att utfärda liknande meddelanden för FREAK snart. Den använder också skanningar för att spåra hur lång tid det tar för FREAK och liknande stora brister att torkas upp. Nästan ett år efter Heartbleeds avslöjande, säger Durumeric, är ungefär 1 procent av de översta en miljon webbplatserna fortfarande sårbara för det.

En anledning till att välkända buggar dröjer sig kvar är att företag inte inser omfattningen av problemet, säger man HD Moore , forskningschef med säkerhetsföretag Snabb7 . Moore använder ZMap för sina egna skanningar. De flesta företag är helt omedvetna om minst 10 procent av sina tillgångar på det offentliga Internet, säger han. ZMap-skanningar kan hjälpa företag att hitta sårbar infrastruktur.

Moore började skanna Internet med hjälp av programvara av egen design 2012 (se Vad hände när en man pingade hela Internet ). Han kör nu en mer formellt skanningsprojekt på Rapid7 , med hjälp av ZMap samt verktyg som utvecklats inom företaget.

Green säger att Google också har börjat utföra sina egna internetskanningar. Resultaten används för att programmera Chrome-webbläsaren att ansluta mer försiktigt till webbplatser som utgör potentiella säkerhetsrisker, säger han.

Verktyg som ZMap kan dock inte hitta allt. Programvaran fungerar genom att systematiskt kontakta alla möjliga numeriska adresser för Internetenheter med det vanligaste protokollet, kallat IPv4. Det missar den lilla men växande andelen enheter som använder adresser under ett nyare system som heter IPv6, som har för många möjliga adresser för att skanna heltäckande. ZMaps skanningar kan inte heller nå inuti privata nätverk, som företagets intranätsajter eller enheter på mobila nätverk.

Ändå, säger Green, ger ZMap och annan skanningsprogram en välbehövlig, om än ibland dyster, bild av tillståndet för internetinfrastrukturen. Vi blir bättre hela tiden, men från en väldigt dålig plats, säger han.

Dölj