关于支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。 通过购买订阅,您将帮助确保未来有关于塑造我们今天世界的发现和想法的有影响力的故事。
在OpenSSL中“心脏出血”漏洞被公布九天后,我们对损害的程度有了更深入的了解。OpenSSL是一种广泛用于保护互联网流量的软件。(感谢无价的xkcd网络漫画,我们也对“心脏出血”的工作原理有了更好的了解。)
好消息是,最初对受影响网站数量的估计——多达三分之二的网站——被证明是过于悲观的。密歇根大学的计算机科学家扎基尔·杜鲁梅里克、大卫·阿德里安、迈克尔·贝利和J.亚历克斯·哈尔德曼对Alexa Internet的100万个顶级域名进行了反复扫描(https://zmap.io/heartbleed/)。截至4月13日上午11点(美国东部时间),该小组发现,在支持TLS的前100万个网站中,有6.2%的网站容易受到“心脏出血”的影响,低于该小组4月9日发现的11%。所以这是好消息:受影响的网站比最初认为的要少,并且大约一半的网站已及时修复。
其余的大部分消息都不那么令人愉快。安全公司CloudFlare在4月11日曾短暂地提高了人们的希望,该公司报告称,其工程师得出结论,使用“心脏出血”提取服务器的私钥非常困难或不可能。几个小时内,四名回应者对CloudFlare的发现提出了质疑,该公司撤回了其论点。结果是,任何受“心脏出血”影响的站点或服务确实需要吊销其当前的证书和加密密钥,并获取新的证书和加密密钥。
我们现在也知道,一些意想不到的服务也受到或曾经受到影响,例如云平台提供商Akamai;加拿大相当于国税局的机构;黑莓的iOS和Android的BBM消息服务(尽管不包括该公司的手机或平板电脑);思科和瞻博网络设备;以及大约400万台运行2012年4.1.1版操作系统的Android手机和平板电脑。
负责在更新软件时意外引入此漏洞的德国志愿者程序员罗宾·塞格尔曼是德国电信子公司的一名员工,他公开承认在2011年新年前夜将此漏洞提交到代码中(保存了他的更改)。
当彭博社上周五报道称美国国家安全局(NSA)在过去两年中一直在利用“心脏出血”漏洞时, “心脏出血”对公众信任的影响加剧了。美国国家安全局否认了这些指控,但《纽约时报》发布的一份报告使这些指控听起来似乎是可信的。据《泰晤士报》报道,美国总统巴拉克·奥巴马表示,情报机构应该披露诸如“心脏出血”之类的漏洞,以确保它们得到修复,但他为“明确的国家安全或执法需求”留下了例外。对许多人来说,这种例外情况的范围过于宽泛。
技术界仍在讨论我们是如何走到这一步的以及应该采取哪些措施。问题大致分为三类:互联网关键基础设施的资金筹集方式;用于编写和测试软件的工具;以及软件被广泛采用的过程。
一篇《连线》文章指出,许多开源项目都在努力寻找足够的资金。例如,OpenSSL由四名程序员运行,其中只有一名是全职人员。OpenSSL在一年内从未筹集超过100万美元的资金。许多科技公司向开源项目捐赠大量资金和人力,但这些资金并未在各个项目之间平均分配。正如《连线》指出的那样,大量广泛使用的软件由极少数无偿或报酬低的人员控制。
另外两个问题——软件的编写、审查和采用方式——部分是资金不足问题的结果。上周,安全工程师丹·卡明斯基在一篇博客文章中写道,识别相互依赖关系非常紧迫。“攻击者可以访问的,而防御者覆盖最少的,最重要的一百万行代码是什么?”他问道。找到这些相互依赖关系的挑战在于,审查代码就像做家务:既无聊又耗时;人们只有在没有做的时候才会注意到,而且做这件事几乎没有回报。
罗斯·安德森、雷纳·博姆、理查德·克莱顿和泰勒·摩尔在欧洲联盟网络和信息安全局(ENISA)关于安全经济学的2008年报告中提出了一项建议,即在软件行业引入对有缺陷产品的责任。在这样的制度下,你可能仍然会有数百万人依赖于四个喜欢在新年前夜午夜编码的人编写的软件,但是将其纳入其产品的供应商将必须更加注意审查代码,然后再采用它。