在过去两年的大部分时间里,三分之二的网站容易受到远程攻击者的内存提取——内存中包含私人信息、密码和加密密钥。这个缺陷被称为“心脏出血”(Heartbleed),是有史以来发现的最严重的互联网安全漏洞。“心脏出血”攻击不会显示在大多数网站的日志中,因此我们无法确定它被利用的范围有多广,或者可能泄露了什么。
今年早些时候,当这个漏洞曝光时,白宫发表了一份异常明确和直接的声明,称美国政府的任何部门在披露之前都不知道“心脏出血”漏洞,从而避免了如果国家安全局隐瞒如此严重漏洞的知识而可能引发的强烈抗议。但联邦政府并没有因为这一事件而轻易脱身。它犯了没有提供领导力的错误,这种领导力本可以避免这场危机的发生——而且对于避免下一次危机也是必要的。
领导力差距的出现很大程度上是因为越来越多的安全软件是“开源”的——代码由程序员为了共同利益而制作和广泛共享。“心脏出血”漏洞是早在2011年由一位德国博士生在提交给名为 OpenSSL 的加密软件包的代码中出现的一个错误引起的。这是一个常见的错误类型,但不知何故没有人发现它。有缺陷的代码通过了 OpenSSL 的审查过程,并被采纳到官方 OpenSSL 版本中,在那里它被忽视了两年。
关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保有关塑造我们今天世界的发现和想法的具有影响力的故事的未来。
像 OpenSSL 这样的开源软件应该有利于安全,因为每个人都可以自由阅读和分析代码。开放代码最大限度地提高了某人、某地在错误损害最终用户之前发现错误的可能性。开源倡导者埃里克·S·雷蒙德 (Eric S. Raymond) 曾有名地称之为林纳斯定律:“只要有足够的眼球,所有错误都是肤浅的。” 如果您有足够的眼球,那是个好消息。
但是 OpenSSL 面临着严重的眼球短缺问题。该项目的网站列出了一个由三人组成的核心团队,其年度预算不到 100 万美元。再花一两百万美元进行安全审计很可能可以预防“心脏出血”漏洞。然而,OpenSSL 安全性是一种公共产品,存在相关的资金问题:一旦它存在,就无法阻止任何人从中受益,因此许多人希望搭别人的便车。
政府经常为基础科学研究等公共产品付费。但政府并没有投资于 OpenSSL 的安全性。尽管每年在网络安全上花费数十亿美元,并宣布“网络”为国家优先事项,但联邦政府甚至没有提供数百万美元来加强这一核心安全基础设施。
政府也没有在“心脏出血”漏洞公开后提供权威、具体的建议,当时网络上的用户和小网站运营商都在想该怎么办。尽管政府为面临自然灾害或人身安全风险的人们提供此类建议,但在“心脏出血”漏洞出现时,政府却让用户束手无策。与此同时,大多数公司所做的仅仅是警告用户更改密码。
有人需要牵头资助和协调基础设施审计,组织向公众有用披露漏洞,并为用户和小型网站运营商提供可访问的建议和指导。现有实体执行其中一些职能——例如,在“心脏出血”事件之后,Linux 基金会和几家科技公司承诺为开源安全提供支持,包括资金——但一个中央组织应该统一努力,找出未解决的问题,并向公众呈现清晰的信息。如果政府和私营公司都不站出来,那么我们需要一个独立的机构来专门服务于最终用户的安全需求。
我们将长期与安全作斗争,没有什么可以使我们完全安全。但更好的机构可以使这些危机不那么频繁、不那么严重,并且对用户来说不那么令人困惑。通过一些领导和适度的投资,我们可以拥有一位用户安全卫士。