“心脏出血”XP停服带来千亿商机
4月8日互联网世界两个震撼事件,一是“心脏出血”漏洞导致全球网站受到安全威胁,二是XP停止服务带给两亿中国XP用户的电脑安全。
关于“心脏出血”漏洞,是因为多数SSL加密的网站都使用名为OpenSSL的开源软件包。本周一,研究人员宣布这款软件存在严重漏洞,可能导致用户的通讯信息暴露给监听者。
“心脏出血”漏洞被公开之后,一部分雅虎用户数据在一天之内遭到泄露,雅虎发言人表示:“我们的团队已经在雅虎的主要资产中(包括雅虎主页、雅虎搜索、雅虎电邮、雅虎财经、雅虎体育、雅虎美食、雅虎科技、Flickr和Tumblr)成功部署了适当的修复措施,我们目前正在努力为旗下的其他网站部署修复措施。“
亚马逊也发布了类似发言表示正在部署修复。但是苹果、微软这样坚持推行商业软件而不是采用开源软件的公司暂未中枪。
出现互联网世界如此大面积安全问题的根本原因还在于:当今最热门的两大开源网络服务器Apache和nginx都使用OpenSSL。这两种服务器约占全球网站总数的三分之二,包括大量热门的网站。
机会一、“心脏出血”漏洞导致重新审视开源软件,全球主要IT服务器将被推动重新采用付费的商用软件,而大量开源项目也会面临转付费项目的机遇。
20世纪80年代,自由软件运动拉开序幕,开源软件的积极发展推动了应用程序的一个“黄金时 代”。计算机软件生来就是开源和免费的。1976年2月3日,比尔·盖茨发表了著名的《Open Letter to Hobbyists》(致电脑业余爱好者的一封公开信),提出了软件“版权”(Copy Right)的概念,正式宣告进入商业软件时代,随后商业软件领域崛起了一个个巨无霸。
开源软件曾一直受到商业软件的强力压制,但是几乎每一款成功的商业软件背后,总有一款比较成功的开源软件,如Linux之于Windows,MySQL之于Oracle,商业软件过高的价格是开源软件令“野火烧不尽,春风吹又生”。微软鲍尔默曾将开源与Google和苹果并称为微软的三大劲敌。
然而,随着软件日益互联网化,开源软件在一些领域开始超越商业软件。
在排名前1000的高流量网站中,开源服务器软件Nginx占据了34.9%,已经取代了Apache(34.5)第一名的位置。将范围扩大到前百 万网站时,Nginx已超过Microsoft,位列第二。全球范围内,有上亿个网站使用了Nginx,大约占14.55%。类似Netflix、 Hulu、Pinterest、AirBnB、WordPress.com、GitHub、SoundCloud、Zynga、Evenbrite及Zappos这些网络重量级公司都使用了Nginx来服务他们的网站。
Apache开源技术则是近十年改变全球IT世界的重要力量,Apache HTTP服务器项目主要致力于为现代操作系统开发和维护开源的HTTP服务器,其中包括Unix和Windows NT。自1996年4月以来,Apache就变成了互联网上最流行的Web服务器。连续18年,Apache HTTP服务器都是全球Web服务器的领军者,为上亿个网站提供服务。
以下是淘宝网对采用 Nginx的说明:淘宝网是亚洲最大的电子商务网站,每天访问淘宝网的PV超过了几十亿。大压力的访问,对淘宝网的Web服务器提出了严苛的要求。经过一系列的对比,我们最终选择了Nginx作为我们的Web服务器,因为它性能高,又非常节省资源(CPU和内存),并且有足够的灵活性。
雅虎、Google、亚马逊、Facebook等互联网新霸主,都大量采用免费的FreeBSD、Linux、Apache Web Server等开源软件搭建自己的系统,在开源软件的“哺育”下崛起的。开源软件有助于他们成本降低和技术水平提升。
但是,应该看到本次“心脏出血”漏洞反映出基于开源软件构建的IT世界不堪一击!全球2/3网站采用当今最热门的两大开源网络服务器Apache和nginx,此次全部中招!
开源社区的本质允许IT人员来检查一个产品的源代码,改善或改变代码。 “心脏流血”带来的最重要的教训“这些漏洞都比较隐秘,如果只是看代码的话,是无法发现。这次是因为谷歌检测程序足够严格,发现了这个漏洞,但是对于任何依赖开源安全软件的网站来说,都应该进行反思为什么开源软件如何脆弱和不堪一击。
这次罪魁祸首OpenSSL软件是套开放源代码的SSL套件,其函式库是以C语言所写成,实作了基本的传输层资料加密功能。OpenSSL软件是以 Eric Young以及Tim Hudson两人所写的SSLeay为基础所发展的,但是SSLeay随着两人前往RSA公司任职而停止开发。1998年12月23日发布第一套 OpenSSL软件版本,此后大概两年更新一次版本。
目前这场安全风波给2/3的全球网站带来安全漏洞,教训已经很明显。但是尽管有2/3全球网站使用OpenSSL,这项开源的协议在过去的岁月中因 为缺乏足够的资金进行发展,一直进展缓慢。OpenSSL大约两年前就已经存在这一缺陷,但是因为缺少严格的测试而没有被发现。
当目前网站出现安全问题,由于不是付费的商业软件,网站根本找不到相关负责人,只能依靠自己的技术力量进行补漏,这不仅浪费时间而且不是每家网站都有这样的技术力量来补漏。
Red Hat 、SUSE等开源软件公司都已推出商业版本,2013年8月开源服务器软件Nginx也发行了其商业版本。此次令全球互联网公司手忙脚乱的安全事件发生后,不仅推动全球市场商业软件的普及,而且预计开源项目转推商业版本也将掀起新的高潮。
上世纪90年代末,全球应对“2000年虫”事件,软件界年份时间以两位数计,到2000时所有软件系统将自动清为00,而由此引发全球软件内核修补软件,带来数百亿的软件外包机会,推动中国印度软件外包的发展。
对比上次“2000年虫”事件,此次“心脏出血”漏洞影响更深远,将带来超千亿的市场机会!这对中国软件界也是重大机会。
机会二、微软宣布对XP停止服务,给中国安全软件企业及自主研发操作系统带来巨大商机。
互联网数据中心报告显示,XP在没有更新的情况下,其病毒感染几率是Win8的6倍。XP的停止服务意味着用户的电脑放弃构筑“防御工事”,而网络攻击者们却可以不断发现用户电脑的漏洞,研发更先进的“武器”,进行更有针对性的攻击。有企业IT管理人员担心最怕的是发生爆发冲击波、震荡波之类的蠕虫病毒。(责任编辑:韩杰)
- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。