不久前，我收到一比特讀者的來信，他想知道如何封锁某人掃描他的家庭網絡，或者至少是關於他應該向誰報告掃描的人的建議。我不敢相信人們真的還在乎掃描，我也告訴過他這麼多：現在有無數的實體——一些是良性的、以研究為導向的，還有一些不那麼良性的——不斷地映射和編目幾乎每一臺上網的設備。

其中一個比較好的方法是scans.io，它是通過對公共互聯網的連續掃描收集的研究結果的資料存儲庫。該項目由密歇根大學的ZMap團隊主持，包含了大量定期更新的結果，這些結果集中在對運行一些最常用的“埠”或網絡入口的Internet主機的掃描上，例如埠443（想想受表示SSL/TLS網站加密的鎖形圖標保護的網站）；埠21，或檔案傳輸通訊協定（FTP）；和埠25，或簡單郵件傳輸協定（SMTP），被許多企業用來發送電子郵件。

大約15年前，當我第一次涉足安全領域的時候，掃描你沒有的網絡，尋找實際上相當於打開門窗的東西，這種做法還是相當不受歡迎的——如果不是讓人陷入法律糾紛的理由的話。如今，抱怨被掃描就像抱怨你的房子頂部可以通過穀歌地球看到一樣有用。試圖把設備放到互聯網上，然後希望某個人或某物找不到它們，這是默默無聞的最徒勞無功的安全措施之一。

為了對此進行一次徹底的檢查，上周我與密歇根大學研究員紮基爾·杜魯梅裏克（ZD）和伊利諾伊大學香檳分校（MB）的邁克爾·D·貝利（Michael D.Bailey）詳細討論了他們正在進行的一個非常公開的項目，該項目旨在掃描所有面向互聯網的東西。我很想瞭解他們的觀點，即公眾對互聯網廣泛掃描的看法多年來發生了怎樣的變化，以及有針對性的掃描如何能够真正為整個互聯網用戶帶來有益的結果。

MB：由於歷史上對掃描的偏見，以及這場關於資訊披露和保密性的爭論，我們非常謹慎地處理了這個問題。我們當然認為，發佈這些資訊的好處是巨大的，我們只是在摸索我們可以從中學習到什麼。

ZD：是的，根據廣泛的、互聯網範圍的掃描，現在有近24篇論文發表。更專注於全面掃描的人往往是那些試圖完成統計或大規模分析的嚴肅出版品，而不是僅僅在互聯網上尋找設備。在過去的一年裏，我們已經開始加大掃描力度，並更頻繁地向scans.io網站添加掃描。

BK：你對這個項目的短期和長期目標是什麼？

ZD：我認為從長遠來看，我們確實希望新增附加協定的覆蓋範圍。我們關注的很多方面是協定的不同方面。例如，如果您正在查看運行“https://”協定的主機，根據您來自哪個角度，您可以使用多種不同的管道提問。你會看到不同的内容和行為。囙此，我們所做的很多工作都圍繞著https展開，而https現時在研究界當然很熱門。

我很高興能加入其他的協定。有一些協定對互聯網的運行是至關重要的，我對理解DNS、BGP和TLS使用SMTP進行攔截的部署非常感興趣。現在，所有這些協定都有一個很長的尾巴，所以這就是它開始變得有趣的地方。我們要開始研究可程式設計邏輯控制器（plc）和工業控制系統的響應。

ZD：我們要關注的一件事是嵌入式設備的世界，或者說是“物聯網”現象。正如Michael所說，也有工業協定，而且這些嵌入式設備支持不同的協定，我認為我們將繼續圍繞這類設備添加協定，因為從安全角度來看，互聯網上出現的設備非常有趣。

BK：你在總掃描結果中發現了哪些令你吃驚的東西？

ZD:我認為在“https://”這個世界上，有一件事是我們擁有一個非常龐大的證書頒發機构生態系統，很多注意力都集中在少數頒發機构上，但實際上有一個很長的尾巴-有成百上千的證書頒發機构，我們並沒有真正考慮在日常基礎上，但仍然有權簽署任何網站。這是我們沒必要想到的。我們知道有很多，但我們真的不知道會發生什麼，直到我們看了那些。

幾年前，我們還做了一些關於加密金鑰以及如何在設備之間共亯這些金鑰的工作。在一個例子中，素數是在RSA金鑰之間共亯的，正因為如此，我們能够計算出大量的金鑰，但是除非我們開始深入研究這個方面（他們關於這個的研究論文在這裡提供）。

MB：我們驚訝的一件事是，當我們以一種以前從未做過的管道來衡量這些事情時，往往這些緊急行為變得清晰起來。

BK：談談你希望如何處理這些數據。

ZD：我們參與了很多關於心血脆弱性的分析。其中一個令人驚訝的進展並不是說有很多人容易受到傷害，但是很有趣的是看到誰修補了，如何修補以及修補的速度有多快。我們能够發現的是，通過從這些掃描中獲取數據，並實際對每個人進行漏洞通知，我們能够將修補Heartbleed bug的數量新增50%。所以有一個有趣的驚喜，不是你從數據中學到了什麼，而是你從分析中採取了什麼行動？這是我們非常感興趣的事情：這就是我們如何在社區內推動進步以提高安全性，無論是通過漏洞通知，還是幫助配寘。

BK：你怎麼知道你的通知有助於加快修補速度？

MB：有了這個令人心碎的漏洞，我們從掃描中選取了已知的易受攻擊人群，並進行了A/B測試。我們將易受傷害的人群分成兩半，通知一半的人群，而不通知另一半，然後量測兩個人群修補率的差异。一周後我們通知了第二批人…另一半。

BK：在瀏覽了心血漏洞掃描的數據後，你通知了多少人？ 

ZD：我們對IPv4地址空間中的每個人進行了訪問，找到了易受攻擊的地址空間，然後聯系了每個IP空間塊的注册濫用連絡人。我們使用了來自200000個主機的數據，這些主機對應著4600個濫用連絡人，然後我們將這些數據分為A/B測試。[他們關於這個測試的研究發表在這裡]。

所以，這是另一件令人興奮的事。通知是一回事，但另一件事是我們一直在建立預測組織行為的模型。囙此，如果你可以觀察，例如，一個組織如何運行他們的Web服務器，他們如何響應證書撤銷，或者他們修補的速度-這實際上告訴你一些關於組織的安全態勢，你可以開始建立這些組織的風險簡檔模型。它離開了我們玩過的這種補丁，打破或補丁和祈禱遊戲。所以，這是我們開始看到的另一件事，那就是在安全方面更加主動的可能性。

BK：你具體是如何進行通知程式的？這是一件很難做到有效和順利的事情，即使你已經和你要通知的組織建立了良好的關係…。

MB:我認為Heartbleed通知實驗之所以如此成功的原因之一是我們在廣泛的漏洞公開之後進行了通知。媒體和一般的氛圍和文化為人們提供了對修補的興奮。我們從與之相關的通知中收到的壓倒性反應是非常積極的。我們聯系了很多人，他們說，‘嘿，這太棒了，請再掃描我一次，讓我知道我是不是打了補丁。’幾乎每個人都很高興能得到幫助。

另一個有趣的挑戰是，在IP地址沒有已知補丁的情况下，我們也做了一些過濾。囙此，例如，當我們從一個國家證書（電腦應急小組）那裡得到資訊說這是一個沒有補丁的嵌入式設備時，我們拒絕了這個通知，因為我們覺得它弊大於利，因為他們沒有前進的道路。我們也做了一些聚合，因為很明顯有很多DSL和撥號池受到影響，我們直接向ISP做了一些通知。

BK：你必須從人們那裡得到一些關於被包括在這些掃描中的資訊。你認為掃描本身就不好還是應該引起某種反應，你認為那艘船已經開航了嗎？

ZD:有一些小部分確實有問題。我們要做的就是盡可能透明。我們用於掃描的所有主機，如果查看WHOIS記錄或使用瀏覽器訪問它們，它會立即告訴您這臺機器是本研究的一部分，這裡是我們收集的資訊，這裡是如何排除您的方法。訪問該頁面的人中只有很小的一部分會閱讀該頁面，然後聯繫我們並要求被排除在外。如果您發送電子郵件[並請求删除]，我們將從以後的所有掃描中删除您。很多事情都歸結於教育，很多人，我們向他們解釋我們的過程和動機都是可以接受的。

BK：那些反對並要求撤職的人更可能是公司和政府，還是個人？

ZD:這是他們所有人的混合體。我記得當時有相當數量的學術機構和政府機構，但家庭用戶數量驚人。實際上，當我們分解去年的數據（PDF）時，最大的類別是中小型企業。去年這個時候，我們只排除了157個提出要求的組織。

BK：那些要求被排除在外的人有什麼模式嗎？

ZD：我認為這實際上有點有趣：排除請求通常不是來自大公司，它們可能注意到我們的掃描，但沒有問題。我們收到的很多電子郵件都是來自這些小企業和組織，他們真的不知道如何解釋自己的日誌，而且往往只是選擇最保守的路線。

所以我們已經掃描了好幾年了，我想當我們最初開始掃描的時候，我們希望所有關注這件事的人都能立刻聯繫我們，說“請排除我們”，然後我們有點希望被排除在外的人數會穩定下來，我們不會再有麻煩了。但我們看到的是，幾乎完全相反。我們仍然每天收到[排除請求]電子郵件，但我們真正發現的是人們並沒有主動發現這些掃描。取而代之的是，他們在查看日誌的同時試圖解决其他一些問題，他們看到我們的掃描結果，他們不知道我們是誰，也不知道我們為什麼聯系他們的服務器。所以不是這些組織在監視我們，而是那些真正不監視我們聯繫我們的組織。

BK：你們是不是回去删除和網絡所有者相關的歷史記錄，他們要求被排除在未來的掃描之外？

ZD：現時我們還沒有回去删除數據。其中一個原因是，已經發表的研究成果都是基於這些數据集和結果的，囙此在事實發生後很難改變這些資訊，因為如果另一個研究人員回去嘗試確認一個實驗或執行類似的操作，就不會有簡單的方法來做到這一點。

BK：這就是你對項目未來的想法嗎？如何做更多的通知和建立在你的數據為這些目的？或者你是在另一個方向上還是在另一個方向上？

MB：當我想到這類活動的道德規範時，我有一種非常功利的觀點：我有興趣用我們掌握的數據盡可能多地做好事。我認為這取決於通知、主動性、幫助運行網絡的組織更好地瞭解其外部姿態，以及建立更好的安全預設值。但我最感興趣的是一些覈心協定，它們服務不足，而且不太容易理解。所以我認為我們應該把大部分精力放在其中的一小部分上，包括BGP、TLS和DNS。

ZD：在很多方面，我們只是處於冰山一角。我們剛剛開始看到，我們可以從這些大規模分析中回答哪些類型的安全問題。我認為在通知方面，有一些超出分析範圍的東西可以用來實際觸發操作，這非常令人興奮，但這顯然需要更多的分析。挑戰在於學習如何正確地做這件事。每次我們看到另一個協定，我們就開始看到這些奇怪的趨勢和行為，我們從來沒有注意到。我們看到的每一個協定中都有這些無休止的問題似乎需要回答。在這一點上，我們要回答的問題比一天中的幾個小時多得多。

標籤：令人心碎的脆弱性，MichaelD.Bailey，密歇根大學，ZakirDurumeric，Zmap

此條目發佈於2015年5月10日星期日晚上11:36，並在陽光下歸檔。您可以通過RSS 2.0訂閱源跟踪對此條目的任何評論。評論和ping當前都已關閉。