幕后大起底:OpenSSL Heartbleed漏洞消息發布前的驚魂72小時

jopen 10年前發布 | 4K 次閱讀 OpenSSL

幕后大起底:OpenSSL Heartbleed漏洞消息發布前的驚魂72小時

        從芬蘭到硅谷,有一支小規模的漏洞獵手團隊發現了互聯網歷史上最為嚴重的網絡安全漏洞,并為之積極準備著。

        最近 Heartbleed 這個詞可謂是家喻戶曉,這個安全漏洞引起了幾乎每個網民的擔心。但其實 David Chartier 早在一周前,當所有人還蒙在鼓里的時候,就已經知道它的存在了。

        周五一大早,Codenomicon 安全公司的 CEO Chartier 接到了一個從芬蘭打來的電話,那時他才剛剛到達在硅谷的辦公室。在那個平常的不能再平常的陰霾天,Chartier 同往常一樣接起了電話,另一頭是公司的首席網絡安全工程師,他所在的網絡安全隊伍在全世界最大的開源加密服務 OpenSSL 中找到了一個嚴重漏洞。最為可怕的是,這個用于保護用戶個人隱私的 OpenSSL 被幾乎所有的主流網站所采用,包括 Google 和 非死book。

        Chartier 明白,事情非同小可,但在那個瞬間,他也不太清楚接下來會發生什么。

        創立于 2001 年的 Codenomicon 是由一群芬蘭 IT 專家建立的國際網絡安全研究所,它在全世界六個國家都有自己的辦公室。這群專家其實各個都是賞金漏洞獵人,而 Codenomicon 的工程師的日常工作,或者說最擅長的工作,就是為軟件檢查漏洞,再寫出修復補丁。Verizon,微軟還有 Adobe 都是他們的客戶。

        作為公司 CEO 的 Chartier 已經有 20 多年的相關工作經驗了,見識過的漏洞也不勝計數。但這次不一樣。就算是著名的計算機安全研究員 Bruce Schneier 后來也把這個漏洞視為“災難性”的安全事故,影響了幾乎所有網民——“如果評級是 1 到 10,這次達到了 11 級。” 他寫道。

        在掛電話之前,Chartier 讓其中一個芬蘭工程師馬上寫一串漏洞檢測代碼去攻擊自己的網站。這樣一來他就可以了解到,如果黑客真的發現漏洞,會對網站造成多么嚴重的損失。

        憑過去的經驗,Chartier 判斷接下來的 24 小時會非常關鍵,而最重要的就是做好保密——Chartier 用自己公司內部的加密通信設備,通知他的芬蘭工程師團隊把修復補丁寫出來。

        “我們把它視作最高機密,誰也不能泄密,我們甚至還檢查了自己有沒有被監聽。”

        Chartier 一個人在硅谷指導著遠在芬蘭的團隊。

        “那些報道一點都不夸張,成千上萬的網絡服務器都在使用 OpenSSL,太多人受牽連了。” David Chartier 說。

        首先要做的就是把漏洞上報到芬蘭國家網絡安全中心,也就是業內人士熟知的“CERT(計算機緊急響應小組)” 。漏洞是在廣泛部署的 OpenSSL 加密服務中發現的,所以周六早上,CERT 就集合了由全球共 12 個志愿開發人員組成 OpenSSL 項目小組。CERT 指揮他們開始更新自己的系統,并盡快備好補丁,以面向公眾發布。

        Chartier 并不知道,在 Google 里的一位鮮為人知的安全專家 Neel Mehta 也在同一天發現并同時報告了 OpenSSL 的漏洞。有趣的是,這個漏洞其實早在 2012 年 3 月就有了,這兩個完全不相干的團隊同時發現并上報,多少有些蹊蹺。(Mehta 不愿就這篇文章接受采訪)

        不管怎樣,Chartier 和他的團隊必須盡力。他明白,要是由 OpenSSL 小組自己來公布這個漏洞報告,所含信息很可能不多,用戶也不太清楚要怎么應對。于是,他決定就這個安全漏洞準備一場宣傳活動,把信息充分地傳出去。

        “漏洞報告更新天天都有,已是家常便飯,” Chartier 說,“你作為 IT 經理,怎么樣能夠判斷哪些是重要的而哪些不是呢?所以我們為報告取了名,還準備了一些 Q&A,為的就是讓人們明確知道這是這么多年來最為嚴重的一個漏洞。”

        一直到周五的晚上,這個漏洞還一直被標識為“CVE-2014-0160“。周六早晨,在芬蘭首都赫爾辛基辦公室工作的 Codenomicon 系統管理員 Ossi Herrala 想到了這個名字:Heartbleed。

        “OpenSSL 上有一個擴展叫做 Hearbeat,”Chatier 解釋說:“Ossi 覺得 Heartbleed 很貼切,因為內存里用戶的重要信息像血一樣流了出來。”

        Marko Laaso 也是 Codenomicon 的員工,在周六一大早他就注冊了 Heartbleed.com 這個域名。而在 2008 年,Heartbleed.com 則是一個給憂郁癥患兒分享歌詞和鏈接的網站。

        整個團隊非常高效。設計師開始設計 Logo——一顆正在流血的心。當網站注冊成功,Logo 也確定之后,市場部就著手準備網站上的 Q&A 內容了。

        周日的時候,Codenomicon 的員工們用加密通訊工具交流,而 Chartier 繼續監測網絡,他要確保這個漏洞的消息沒有被泄露出去。到了當天晚上,所有的營銷材料準備就緒,整個團隊也緊張的等待著,等著在 OpenSSL 發布補丁的第一時間上線 Heartbleed.com。

        “在補丁發布前,我們不可能先把消息發布出去,這只會引起恐慌,因為在補丁出來前,用戶根本不明白要怎么保護自己。那樣做這也違背了我們本意。”Chartier 說。

        最終到了周一下午,Heartbleed.com 終于上線,人們一下子涌了進來,媒體也紛紛跟進報道。基本上所有主流媒體,從 CNN 到華盛頓郵報再到紐約客,都報道了 OpenSSL 漏洞的事。截止到周三下午,算起來連 48 小時都不到,網站就有 140 萬不同的獨立訪問,現在則接近 200 萬。Heartbleed.com 能起到這么大的作用,Chartier 備感欣慰。

        “保障網絡安全就是我們的使命,” Chartier 提到。“IT 安全社區也盡全力打了一場勝仗,這份功勞屬于整個 IT 安全社區。”

來自: 36氪 
                    <span id="shareA4" class="fl">                          </span>
 本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
 轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
 本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!
  本文地址:http://www.baiduhome.net/news/view/84d6bc