“心臟出血”漏洞（Heartbleed）已經(jīng)過(guò)去6個(gè)月時(shí)間，這個(gè)一度被視為互聯(lián)網(wǎng)上最嚴(yán)重的網(wǎng)絡(luò)安全漏洞（現(xiàn)在被“破殼”取代），在目前仍不可小視。這個(gè)漏洞由Codenomicon、Google兩家公司分別發(fā)現(xiàn)。作為最初漏洞發(fā)現(xiàn)者，Codenomicon公司的三名成員很早就對(duì)外公布了他們的發(fā)現(xiàn)經(jīng)過(guò)，不過(guò)Google安全工程師一直沒(méi)有透露過(guò)。

在最近一期Risky.biz播客上，Google安全工程師Neel Mehta首度揭秘了他們對(duì)“心臟出血”的發(fā)現(xiàn)過(guò)程。

這與Neel Mehta的工作職責(zé)有關(guān)。他說(shuō)：“我在做的是OpenSSL審計(jì)工作，以及整個(gè)SSL通信層安全?！边@顯然是一項(xiàng)長(zhǎng)期工作，Mehta沒(méi)有表示他已經(jīng)完成此項(xiàng)審計(jì)。

SSL（Secure Sockets Layer）是一個(gè)保障數(shù)據(jù)完整、安全的加密協(xié)議，它經(jīng)常用在客戶端與服務(wù)器之間，我們常使用的Google搜索、支付寶、微信就是使用它來(lái)保障安全。OpenSSL是SSL協(xié)議的開(kāi)源實(shí)現(xiàn)，它們類似于Chrome與瀏覽器工作機(jī)制（W3C規(guī)范）之間的關(guān)系。

Mehta表示，發(fā)現(xiàn)“心臟出血”漏洞最主要的原因，是由于他在SSL協(xié)議棧上的一些早先發(fā)現(xiàn)，包括今年2月份發(fā)現(xiàn)的GoToFail漏洞、3月份發(fā)現(xiàn)的GnuTLS漏洞。

“你會(huì)感覺(jué)在SSL協(xié)議層上，可能存在更多未發(fā)現(xiàn)的東西。所以我很好奇它的安全現(xiàn)狀，并順便做了下研究。然后…”

沒(méi)想到反響會(huì)如此巨大，主流媒體大多都做了報(bào)道（WSJ、Reuters、FT等）。Mehta說(shuō)：“這個(gè)結(jié)果讓我有些驚訝?！碑?dāng)時(shí)還有另一家安全公司也發(fā)現(xiàn)了這個(gè)漏洞，并上線了一個(gè)專門播報(bào)漏洞狀況的網(wǎng)站。

不過(guò)Mehta對(duì)于漏洞的一些夸張說(shuō)法不太感冒。在漏洞被公布后，彭博社的一篇報(bào)道提到：“美國(guó)國(guó)家安全局在他之前就知道’心臟流血’漏洞，并利用它達(dá)成過(guò)不可告人的目的。”Mehta表示不太確定這個(gè)說(shuō)法，他個(gè)人認(rèn)為這是不太可能的（原話為unlikely）。

不過(guò)這確實(shí)是一個(gè)問(wèn)題?！靶呐K出血”漏洞已經(jīng)存在了兩年多時(shí)間，直到現(xiàn)在才被發(fā)現(xiàn)和修補(bǔ)，還是因?yàn)镚oogle對(duì)自身使用的基礎(chǔ)服務(wù)的審查。

“這可能是到達(dá)了一個(gè)臨界點(diǎn)?！盡ehta說(shuō)，“在斯諾登揭秘美國(guó)國(guó)家安全局的大規(guī)模竊聽(tīng)計(jì)劃后，加密在過(guò)去一年被越來(lái)越重視。今年早些時(shí)候我們就發(fā)現(xiàn)了一大堆問(wèn)題，接下來(lái)由于大家的重視，在這方面會(huì)有更多的發(fā)現(xiàn)。”

在斯諾登揭秘中，美國(guó)國(guó)家安全局曾經(jīng)竊聽(tīng)過(guò)Google數(shù)據(jù)中心之間的加密數(shù)據(jù)，并成功破解。

Mehta還談到了“破殼”漏洞（Shellshock），他認(rèn)為這是比“心臟出血”漏洞更為嚴(yán)重。

這些漏洞之所以嚴(yán)重，是由于類似bash、OpenSSL的開(kāi)源軟件被廣泛應(yīng)用于全球數(shù)億設(shè)備之上。他懷疑其它軟件——被其稱之為“用膠水貼合在一起”的軟件，可能還存在著很多長(zhǎng)年未被發(fā)現(xiàn)的問(wèn)題。例如Zlib，一個(gè)在很多軟件中使用的壓縮庫(kù)；libjpeg，一個(gè)被廣泛應(yīng)用的JPEG庫(kù)文件。

“libjpeg庫(kù)中的bug，將會(huì)有巨大的影響。”Mehta說(shuō)道。

source：smh

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。