Heartbleed事件暴露開源軟件世界潛規則
新的一天來臨,新的一場互聯網安全危機爆發。這一次是一個有關加密協議的問題,很多互聯網網站都使用這個協議來保護自己的數據。再一次,對互聯網安全的基礎知識跟對汽車發動機的運行原理一樣不甚了了的用戶被告知,有很多糟糕的網站,他們需要保持謹慎。
如果你想了解真相——什么是 Heartbleed 漏洞以及該漏洞混進的“代碼庫”存在什么問題,請閱讀魯斯蒂·福斯特(Rusty Foster)在《紐約客》上發表的文章。至于該漏洞是否影響你以及你使用的網站,請使用這款來自密碼服務 LastPass 的工具(是的,例如網飛 [Netflix]和 HBDGo 都容易受到 Heartbleed 漏洞的攻擊,這意味著有人可能一直能夠利用這些網站來獲取用戶的用戶名及密碼,當這些網站修復后,用戶應該修改各項信息)。
這個漏洞將被修復,就像蘋果的 GoToFail 加密漏洞那樣,這個問題將被平息,人們將修改自己的密碼,萬事大吉……除非,正如布魯斯·施奈爾 (Bruce Schneier)所指出的那樣,該漏洞處于不能升級的嵌入系統之中。無論如何,類似的情況將再次發生。正如《華爾街日報》的丹尼·雅德隆(Danny Yadron)在報告中指出,本輪最新的安全危機暗示了一個更大的問題。盡管很多網站都依賴 OpenSSL 代碼庫來保護他們的網絡安全,但只有一個家伙全職從事該項目的開發。
OpenSSL 由 4 位核心的歐洲程序員管理,其中只有 1 人將其作為自己的全職工作。
并且該項目現在面臨資金不足的問題:
編寫加密代碼是比較復雜的,因此很多網站管理員都使用 OpenSSL,該項目是免費的。它在 20 世紀 90 年代末由一些希望為互聯網流量創建一個易于使用的加密體制的開發者創辦。其網站非常精簡,財務狀況也并不充裕。OpenSSL 軟件基金會是一個專門為管理該代碼的團隊招募融資的獨立實體,該基金會總裁史蒂夫·馬奎斯(Steve Marquess)表示,2013 年的預算不到 100 萬美元。
雖然如此,互聯網上還是有接近三分之二的網站都依賴這個項目。根據報道,Heartbleed 的“幕后主使”是德國開發者羅賓·塞格爾曼 (Robin Seggelman),他在 2011 年新年前一個小時在一個代碼版本中引入了一個拼寫錯誤。但對于一位如此致力于該項目——以至于在假期也忙于修復漏洞的程序員,你很難對其心生責備。由于這 是一個開源項目,任何人都可以查閱這些代碼,并且希望通過眾包,各種錯誤最終都能被找到和修復——一個深深植根于互聯網時代哲學的希望。
不過該漏洞直到兩年之后才被谷歌安全工程師尼爾·梅赫塔(Neel Mehta)發現,據一位谷歌發言人表示,梅赫塔不愿接受媒體采訪,只是通過谷歌提供一份聲明。她寫道:“保證我們用戶的信息安全是首要任務。我們及時修復了這個漏洞,谷歌用戶并不需要更改密碼。”
但如何解決那個更大的問題呢?互聯網用戶有大有小,從谷歌和雅虎等市值達到十億美元的企業到尚未盈利的小規模安全網站,他們都依靠一個志愿者項目來為網站安全提供框架,并且該項目并沒有規定使用者必須作出捐贈。
“Heartbleed 進一步證明,在互聯網安全方面,我們還沒有收拾干凈屋子 。”普林斯頓大學計算機安全專家愛德華·菲爾滕(Edward Felten)向紐約時報記者法賈德·曼吉歐(Farjad Manjoo)表示。他將“軟件開發的文化”與“在航空等領域常見的安全文化”進行對比,指出前者非常欠缺。在一定程度上,這具有合理性:互聯網即使崩潰 也不會使你萬劫不復;但當像 Heartbleed 這樣的事件發生后,對于企業來說,這種欠缺的代價是高昂的,對互聯網用戶來說,他們也會面臨很多麻煩。
因此,有何解決辦法?顯然,那些開發管理該安全協議的人士,需要更好的基礎設施和更多資金,該安全協議為互聯網的剩余部分提供支持。福斯特在 《紐約客》上寫道:“互聯網的大部分軟件基礎設施都是由志愿者打造和維護的,即使代碼非常不錯,他們獲得的回報也不多,一旦代碼出現問題,他們將受到批 評,有時候甚至是惡狠狠的嘲笑。”
他看到了這方面的一些變化,主要是因為風投資本對 GitHub 和 Node Package Manager 等部分開源代碼基礎設施項目進行投資。“不過資金和支持仍然流向最新和最有意思的項目,而像 OpenSSL 等無聊但必需的元素仍然作為志愿項目蹣跚前行。”他寫道,“我們很容易將開源軟件認為是理所當然的事情,并且忘記了我們每天使用的互聯網在一定程度上是依 賴于成千上萬名程序員免費付出的勞動。”
<span id="shareA4" class="fl"> </span>
</div>