Codenomicon和谷歌安全部门(Google Security)的研究人员在开源软件包OpenSSL里发现了一个存在两年的安全漏洞,这一软件包被全球上百万个网站的加密协议所使用。这个名为 Heartbleed的加密漏洞导致网络过于公开,促使安全专家警告网络用户在未来几天尽量避免使用网络。很多人怀疑这一漏洞是代码编写者、来自德国明斯特的软件开发者罗宾·西格尔曼(Robin Seggelmann)蓄意植入的, 但他本人对此表示否认。在首次媒体公开评论中西格尔曼表示,这一漏洞的出现“其实很好解释”。
OpenSSL 软件被很多流行的社交网络网站、搜索引擎、银行和网上购物网站用于保护个人和财务数据安全。这使得知道这一漏洞存在的人可以从网络服务器里窃取用户名、密 码、信用卡信息和其他各种敏感信息。这也导致服务器的加密密钥很容易被窃取。一旦被窃取,这些密钥将被不法分子用于解密网站服务器和网站用户之间传输的数 据。“如果用0-10来评价其危险程度,它应该是11。”信息安全专家布鲁斯·施奈尔(Bruce Schneier)这样说道。
西格尔曼 表示他和另一名代码审阅者本该在2年前发现此漏洞,当时他们正在为开源OpenSSL加密协议编写代码。“我当时正在改进OpenSSL并提交了大量漏洞 修复,同时添加了一些新的特征,” 西格尔曼说道。“不幸的是,在其中一个新特征里,我忘记验证一个包含字符串长度的变量。”在西格尔曼递交代码后,另一名审阅者“很明显也没有注意到他的失 误”,所以这一错误就出现在最终发布的版本里。脚本显示这名审阅者是斯蒂芬·亨森(Stephen Henson)博士。西格尔曼比表示这一错误“非常小”,但也承认它的影响是“致命的”。
阴谋论
很 多阴谋论者认为这一错误是西格尔曼比本人恶意植入的。西格尔曼解释称人们这么想情有可原,尤其是在爱德华·斯诺登(Edward Snowden)曝光了美国国家安全局和其它组织进行的间谍活动后。“但事实是,这只是一个新特征里的简单的程序错误,不幸的是,它恰巧影响了系统安全。 这完全不是蓄意行为,而且我本人一直致力于修复OpenSSL漏洞并提升其性能 。”
尽管西格尔曼否认他蓄意植入错误代码,但过去两年里情 报局利用这一漏洞也是可能的。“这是可能的,在安全问题上就应该做最坏的打算。” 西格尔曼呼吁更多软件开发者关注开源软件的代码。“开源代码的优势在于 任何人都能浏览它的代码。看得人越多,漏洞被发现的可能性就更大。”
文章转载自开源中国社区 [http://www.oschina.net]
