心脏出血漏洞的加密漏洞可能是人们记忆中最严重的网络安全漏洞,影响着数亿人。Heartbleed漏洞可以在OpenSSL(一个用于安全套接字层(SSL)的开源加密库)中找到,该库已被广泛部署在世界各地的Linux服务器和互联网基础设施上。
在围绕Heartbleed的媒体马戏中,可能没有很好理解的是如何从一开始就包装和粘贴这个关键的安全问题。不幸的是,这也是一个漏洞,因为它的披露流程并不完善,这只会给安全风险增加更多的动力和担忧。
4月7日,原OpenSSL会诊首次发布,没有提到缺陷为“心脏出血洞”,而是在OpenSSL中创建“心跳”的缺陷。心跳是指OpenSSL中函数提供的技术监控功能。
Codenomicon是一家安全研究公司,由Heartbleed这个名字和一个精心设计的标志(在众多媒体报道中被反复使用)创立。Codenomicon与谷歌安全研究人员一起,获得了首次发现Heartbleed漏洞的荣誉。
Heartbleed图标由公司首席营销官Codenomicon设计师Hope Frank在内部创建。Codenomicon还于4月5日注册了heartbleed.com域名,该域名已成为传播安全问题信息的关键资源。
弗兰克说:“我们的意图不是销售产品,而是提供信息、教育和建议。”“这就是为什么我们决定发布内部Heartbleed内容并创建一个网站。该域恰好可用。
弗兰克说,Codenomicon希望利用其发现来快速教育那些需要信息的人,并补充说,这些信息是在OpenSSL.org发现漏洞后发布的。
披露程序
Heartbleed漏洞背后的整个披露过程也是许多评论和关注的主题。一般来说,在开源安全披露方案中,有一些基于NDA的信息形式,这些信息将在供应商安全社区的封闭列表中公布。总的想法是,通过共同努力,多个供应商和服务可以在公众咨询期间准备好发布补丁。
心痛,这不是真的。
而谷歌的云安全提供商CloudFlare是一个非常小的群体,他们可以通过某种方式尽早获得这个漏洞,并在4月7日公开咨询OpenSSL之前修复它。
CloudFlare首席执行官马修普林斯告诉eWEEK,事实上,上周初,参与发现该漏洞的研究人员通知了他的公司。
然而,其他提供商和网络服务(包括云提供商)显然没有得到同样的信息。云服务提供商DigitalOcean是4月7日争夺服务器补丁的公司之一。
DigitalOcean的首席技术推广人约翰埃德加告诉eWEEK:“我们认为这是现代互联网中发现的最严重的漏洞之一,我认为整个披露是绝对残酷的。”
Edgar表示,虽然敏感的安全泄露很难处理,但可以做出更多努力,传播范围可以扩大到包括和保护互联网服务。
埃德加说:“在我看来,这家芬兰安全公司(Codenomicon)确实以安全的名义扮演了Heartbleed作为营销和公关公司的角色。“这是一种耻辱,可能会鼓励其他人也这样做。”
对于如何处理披露流程,Codenomicon有不同的看法。Codenomicon首席研究官Ari Takanen告诉eWEEK,他的团队发现了Heartbleed错误,并改进了Codenomicon Defensics安全测试工具中的ServiCe功能。他说,Codenomicon的Defensics安全测试工具的SafetY功能将自动测试目标系统是否存在损害完整性、隐私性或安全性的弱点。
一旦Codenomicon发现Heartbleed错误,它将报告给芬兰国家网络安全中心(NCSC-FI)进行漏洞协调,并报告给OpenSSL团队。
塔卡宁说:“在发现后的几个小时内,我们联系了NCSC-FI进行漏洞协调。”“我们已经编写了一个问答集,以支持在联系供应商和服务提供商时进行漏洞协调;比预期的要快得多。其他人已经公开了漏洞,我们认为问答集也可以帮助公众。”
数字海洋的Edgar指出,他知道不可能将整个互联网置于NDA之下,以便提前告知所有相关方安全问题。不过,埃德加表示,他对供应商和服务提供商(包括其竞争对手亚马逊AWS)的所有服务器管理员感到非常遗憾,他们不得不迅速展开竞争,以解决Heartbleed问题。
埃德加说:“对于咨询服务公布后,每个不得不匆忙解决问题的人,我感到很遗憾。这是重点。在这种情况下,我们不应该急于解决问题。”这是不公平的,处理不当。"