以色列Checkmarx公司推出了一款新游戏。该游戏不仅可以娱乐,还可以避免再次上演像“心脏出血”那样的大型网络攻击。在该攻击中,俄罗斯一个团伙获取了12亿的用户名和密码。如果之前还不算明显,那么该游戏的发布再次验证了Checkmarx重视网络安全的理念。

据报道称,如果联合国的统计数据正确的话,世界71亿人口中有40%都在使用网络,那么每三个人中就有一人的个人登录信息被俄罗斯黑客窃取,包括社交媒体网站、邮箱、银行网站等,或许还包括其他网站的登录信息。俄罗斯的黑客是如何从成百上千家网站窃取超过10亿份用户名及密码的至今还是个迷——公布该信息的Hold Security公司不愿透露——但是这很可能和多年严重的安全混乱有关,甚至连互联网重要安全协议OpenSSL都受到了波及。

显然,该安全漏洞在几年前就已经存在了,只不过没有人注意到罢了。据悉,该漏洞已波及近五分之一的安全服务器,而这些服务器本应为用户提交的信用卡信息提供保障。根据部分专家的说法,“心脏出血”可能是互联网迄今为止出现最大型、最严重的安全漏洞。以色列网络安全公司Checkmarx的创始人和首席技术官马蒂•西曼(Maty Siman)表示,目前尚未清楚为什么会没有人注意到该漏洞,但是这可能和程序员经常“不太注重”网络安全有关。

Checkmarx关注这个问题已经有一段时间了。为了提高程序员对安全问题的理解,Checkmarx本周发布了“黑客游戏”这一在线竞赛活动。程序员可以在网上互相竞赛,也可以人机竞赛。该游戏可以帮助程序员发现他们经常会犯的低级错误,防止再为网络窃贼大开方便之门。这些网络窃贼能够轻易地破解网站防护,窃取任何他们想要的信息。

“心脏出血”是4月初在互联网安全传输层协议(TLS)和开源OpenSSL安全协议密码库中发现的一个漏洞。专家表示,该漏洞可能已存在数年之久。

“心脏出血”在很多情况下是可以避免的。西曼表示,一位细心的程序员本不该编写出能让黑客使用“心脏出血”协议入侵服务器的代码。“心脏出血是开源OpenSSL安全协议基本应用中的一个漏洞。许多像这样的安全问题可以追溯到程序员编写的原始代码。他们在增加功能的同时却没有检查安全隐患。”

于是黑客游戏就应运而生了。该游戏可在电脑、平板和移动设备上运行。开发者可得到游戏提供的代码片段,要在最短的时间内发现应用层漏洞。该游戏可同时供初级和高级程序员使用,涵盖了黑客“最喜欢的十大漏洞”,包括SQL 注入攻击、跨站脚本攻击(XXS)、日志伪造、路径浏览、参数篡改等很多让外行人目瞪口呆的深奥术语,但黑客见到这些术语就仿佛看见了大把的美金。

Checkmarx上周在拉斯维加斯一年一度的黑帽网络安全大会发布了该游戏,成为了热门话题;而俄罗斯的黑客袭击恰巧也是在那公开的。赫尔德表示,黑客主要将窃取得来的用户名和密码用于给社交网站和邮箱发送垃圾邮件,但目前没有人知道该漏洞到底会带来多大的损害以及黑客到底窃取了多少银行、保险、政府和基础设施网站的密码。

Checkmarx市场营销副总监阿萨夫•舒尔曼(Asaph Schulman)表示,不管如何进行攻击,黑客使用的手段都出奇的相似,而这些手段是可以被阻止的。“我们发现越来越多的黑客能成功利用应用程序代码上的安全漏洞进行攻击。这些安全漏洞往往在软件开发初期就已经存在,等到发现时已经覆水难收了。我们总能听到安全部主任对他们开发团队的安全编程知识表示担忧,希望能提供更多的培训。黑客游戏旨在用有趣、互动形的方式提高开发者对网络安全的灵敏度,进而可以在开发初期避免很多常见的安全漏洞。”

西曼称,阻止黑客的第一步就是要学会像黑客一样思考,这意味着程序员要从黑客的角度观察安全漏洞,看到黑客所看到的东西。黑客游戏就是为此而诞生的。“Checkmarx一直在努力缩小开发人员编码能力和安全防范能力之间的差距。”西曼说,“像黑客一样思考能够保证开发出来的应用程序免受大部分的类似攻击。随着手机和网络应用越来越流行,在危险发生之前保护好用户信息比以往任何时候都更重要。”

欢迎关注微信号“以色列时报”,关注以色列新闻。