德軟件開發者否認蓄意植入“心血”安全漏洞

Codenomicon和谷歌安全部門（Google Security）的研究人員在開源軟件包OpenSSL里發現了一個存在兩年的安全漏洞，這一軟件包被全球上百萬個網站的加密協議所使用。這個名為 Heartbleed的加密漏洞導致網絡過于公開，促使安全專家警告網絡用戶在未來幾天盡量避免使用網絡。很多人懷疑這一漏洞是代碼編寫者、來自德國明斯 特的軟件開發者羅賓·西格爾曼（Robin Seggelmann）蓄意植入的， 但他本人對此表示否認。在首次媒體公開評論中西格爾曼表示，這一漏洞的出現“其實很好解釋”。

OpenSSL 軟件被很多流行的社交網絡網站、搜索引擎、銀行和網上購物網站用于保護個人和財務數據安全。這使得知道這一漏洞存在的人可以從網絡服務器里竊取用戶名、密 碼、信用卡信息和其他各種敏感信息。這也導致服務器的加密密鑰很容易被竊取。一旦被竊取，這些密鑰將被不法分子用于解密網站服務器和網站用戶之間傳輸的數 據。“如果用0-10來評價其危險程度，它應該是11。”信息安全專家布魯斯·施奈爾(Bruce Schneier)這樣說道。

西格爾曼 表示他和另一名代碼審閱者本該在2年前發現此漏洞，當時他們正在為開源OpenSSL加密協議編寫代碼。“我當時正在改進OpenSSL并提交了大量漏洞 修復，同時添加了一些新的特征，” 西格爾曼說道。“不幸的是，在其中一個新特征里，我忘記驗證一個包含字符串長度的變量。”在西格爾曼遞交代碼后，另一名審閱者“很明顯也沒有注意到他的失 誤”，所以這一錯誤就出現在最終發布的版本里。腳本顯示這名審閱者是斯蒂芬·亨森（Stephen Henson）博士。西格爾曼比表示這一錯誤“非常小”，但也承認它的影響是“致命的”。

陰謀論

很 多陰謀論者認為這一錯誤是西格爾曼比本人惡意植入的。西格爾曼解釋稱人們這么想情有可原，尤其是在愛德華·斯諾登（Edward Snowden）曝光了美國國家安全局和其它組織進行的間諜活動后。“但事實是，這只是一個新特征里的簡單的程序錯誤，不幸的是，它恰巧影響了系統安全。 這完全不是蓄意行為，而且我本人一直致力于修復OpenSSL漏洞并提升其性能 。”

盡管西格爾曼否認他蓄意植入錯誤代碼，但過去兩年里情 報局利用這一漏洞也是可能的。“這是可能的，在安全問題上就應該做最壞的打算。” 西格爾曼呼吁更多軟件開發者關注開源軟件的代碼。“開源代碼的優勢在于 任何人都能瀏覽它的代碼。看得人越多，漏洞被發現的可能性就更大。”

來自: 網易科技