Heartbleed 事件暴露开源软件世界潜规则

简介:

screenshot

新的一天来临,新的一场互联网安全危机爆发。这一次是一个有关加密协议的问题,很多互联网网站都使用这个协议来保护自己的数据。再一次,对互联网安全的基础知识跟对汽车发动机的运行原理一样不甚了了的用户被告知,有很多糟糕的网站,他们需要保持谨慎。

如果你想了解真相——什么是Heartbleed漏洞以及该漏洞混进的“代码库”存在什么问题,请阅读鲁斯蒂·福斯特(Rusty Foster)在《纽约客》上发表的文章。至于该漏洞是否影响你以及你使用的网站,请使用这款来自密码服务LastPass的工具(是的,例如网飞 [Netflix]和HBDGo都容易受到Heartbleed漏洞的攻击,这意味着有人可能一直能够利用这些网站来获取用户的用户名及密码,当这些网站 修复后,用户应该修改各项信息)。

这个漏洞将被修复,就像苹果的GoToFail加密漏洞那样,这个问题将被平息,人们将修改自己的密码,万事大吉……除非,正如布鲁斯·施奈尔 (Bruce Schneier)所指出的那样,该漏洞处于不能升级的嵌入系统之中。无论如何,类似的情况将再次发生。正如《华尔街日报》的丹尼·雅德隆(Danny Yadron)在报告中指出,本轮最新的安全危机暗示了一个更大的问题。尽管很多网站都依赖OpenSSL代码库来保护他们的网络安全,但只有一个家伙全 职从事该项目的开发。

OpenSSL由4位核心的欧洲程序员管理,其中只有1人将其作为自己的全职工作。

并且该项目现在面临资金不足的问题:

编写加密代码是比较复杂的,因此很多网站管理员都使用OpenSSL,该项目是免费的。它在20世纪90年代末由一些希望为互联网流量创建一个易于 使用的加密体制的开发者创办。其网站非常精简,财务状况也并不充裕。OpenSSL软件基金会是一个专门为管理该代码的团队招募融资的独立实体,该基金会 总裁史蒂夫·马奎斯(Steve Marquess)表示,2013年的预算不到100万美元。

虽然如此,互联网上还是有接近三分之二的网站都依赖这个项目。根据报道,Heartbleed的“幕后主使”是德国开发者罗宾·塞格尔曼 (Robin Seggelman),他在2011年新年前一个小时在一个代码版本中引入了一个拼写错误。但对于一位如此致力于该项目——以至于在假期也忙于修复漏洞的 程序员,你很难对其心生责备。由于这是一个开源项目,任何人都可以查阅这些代码,并且希望通过众包,各种错误最终都能被找到和修复——一个深深植根于互联 网时代哲学的希望。

不过该漏洞直到两年之后才被谷歌安全工程师尼尔·梅赫塔(Neel Mehta)发现,据一位谷歌发言人表示,梅赫塔不愿接受媒体采访,只是通过谷歌提供一份声明。她写道:“保证我们用户的信息安全是首要任务。我们及时修复了这个漏洞,谷歌用户并不需要更改密码。”

但如何解决那个更大的问题呢?互联网用户有大有小,从谷歌和雅虎等市值达到十亿美元的企业到尚未盈利的小规模安全网站,他们都依靠一个志愿者项目来为网站安全提供框架,并且该项目并没有规定使用者必须作出捐赠。

“Heartbleed进一步证明,在互联网安全方面,我们还没有 收拾干净屋子 。”普林斯顿大学计算机安全专家爱德华·菲尔滕(Edward Felten)向纽约时报记者法贾德·曼吉欧(Farjad Manjoo)表示。他将“软件开发的文化”与“在航空等领域常见的安全文化”进行对比,指出前者非常欠缺。在一定程度上,这具有合理性:互联网即使崩溃 也不会使你万劫不复;但当像Heartbleed这样的事件发生后,对于企业来说,这种欠缺的代价是高昂的,对互联网用户来说,他们也会面临很多麻烦。

因此,有何解决办法?显然,那些开发管理该安全协议的人士,需要更好的基础设施和更多资金,该安全协议为互联网的剩余部分提供支持。福斯特在《纽约 客》上写道:“互联网的大部分软件基础设施都是由志愿者打造和维护的,即使代码非常不错,他们获得的回报也不多,一旦代码出现问题,他们将受到批评,有时 候甚至是恶狠狠的嘲笑。”

他看到了这方面的一些变化,主要是因为风投资本对GitHub和Node Package Manager等部分开源代码基础设施项目进行投资。“不过资金和支持仍然流向最新和最有意思的项目,而像OpenSSL等无聊但必需的元素仍然作为志愿 项目蹒跚前行。”他写道,“我们很容易将开源软件认为是理所当然的事情,并且忘记了我们每天使用的互联网在一定程度上是依赖于成千上万名程序员免费付出的 劳动。”

文章转载自开源中国社区 [http://www.oschina.net]

相关文章
|
4月前
|
监控 安全 定位技术
揭秘!你的数据为何赤裸裸暴露在黑客眼中?——物理与环境安全技术,守护信息安全的终极盾牌!
【8月更文挑战第20天】信息安全涵盖网络与数据保护及物理设备安全。物理安全保护实体资产免遭未授权访问或损害,是信息安全根基。常见措施有门禁、监控等。环境安全确保适宜运作条件,如温湿度控制。策略实施需风险评估、设计规划、员工培训等。综上,物理与环境安全对整体信息安全至关重要。
51 1
|
缓存 安全 JavaScript
Kimsuky APT组织使用新型的AppleSeed Android组件伪装成安全软件对韩特定目标进行攻击
我们判断该组织已经具有了Windows,MacOs,Android的攻击能力,并且将在未来的一段时期持续的活跃。
|
算法 Android开发 开发者
被 Google Play “判定”违反政策:开源软件 FairEmail 开发者一怒之下关停所有项目
被 Google Play “判定”违反政策:开源软件 FairEmail 开发者一怒之下关停所有项目
235 0
被 Google Play “判定”违反政策:开源软件 FairEmail 开发者一怒之下关停所有项目
相亲app源码,服务器遭受攻击后需要做好的几件事
相亲app源码,服务器遭受攻击后需要做好的几件事
|
Web App开发 安全 数据安全/隐私保护
McAfee:“极光攻击”将会盛行
在周三的RSA 2010大会发言中,McAfee的研究人员表示,以获取企业源代码为目的的网络犯罪正在盛行,而企业对此方面的保护略显不足。 在RSA 2010上,McAfee展示了一个分析报告,关于对Perforce公司(一个做住房产权软件的公司)的调查。
1121 0
|
安全
英黑客侵入Zynga系统窃得价值1200万美元筹码
北京时间2月3日消息,据国外媒体报道,一名29岁的英国黑客阿什利·米切尔(Ashley Mitchell)被控非法侵入社交游戏公司Zynga的系统,在其账户中添加了4000亿虚拟扑克筹码,官方价值1200万美元,然后在黑市上抛售。
903 0
|
监控 安全 Linux
|
安全
Swift今夏挫败3起网络攻击 否认系统被入侵
本文讲的是Swift今夏挫败3起网络攻击 否认系统被入侵,Swift首席执行官 Gottfried Leibbrandt,在本周一日内瓦召开的银行业论坛上表示,今年夏天,银行防御了三次利用Swift金融转账网络的企图。
1199 0
|
安全 网络架构 Windows
解构APT:高级持续性威胁的前生今世
本文讲的是解构APT:高级持续性威胁的前生今世,如果要考虑哪些要素在数据/元数据泄密方面不是那么重要,就要考虑哪些暴露的通常信息会帮助攻击者构建攻击。
1598 0