《大眾科學》論壇是來自科學和技術領域專家關於熱點問題的特邀文章。
“心臟出血”漏洞是迄今為止最嚴重的網際網路安全漏洞。大約兩年時間裡,三分之二的網站都容易受到遠端攻擊者的記憶體提取攻擊——這些記憶體包含私人資訊、密碼和加密金鑰。“心臟出血”攻擊不會出現在大多數網站的日誌中,因此我們不能確定它被利用的範圍有多廣,或者可能洩露了哪些資訊。一些證據表明,早在2013年11月就有人積極利用“心臟出血”漏洞,但研究人員仍在努力核實這些說法。
“心臟出血”漏洞是由一位德國博士生在2011年提交給OpenSSL加密包的程式碼中的一個程式設計錯誤引起的。這是一個常見的錯誤型別,但不知何故沒有人發現它。有缺陷的程式碼不僅通過了OpenSSL的審查流程,而且在被採用到官方OpenSSL版本後,這個漏洞仍然悄無聲息地存在了兩年。
支援科學新聞報道
如果您喜歡這篇文章,請考慮透過 訂閱 來支援我們屢獲殊榮的新聞報道。透過購買訂閱,您正在幫助確保關於塑造我們當今世界的發現和想法的具有影響力的故事的未來。
像OpenSSL這樣的開源軟體本應有利於安全,因為每個人都可以自由地閱讀和分析程式碼。開放程式碼最大限度地提高了有人在終端使用者遭受損失之前發現錯誤的機率。開源倡導者埃裡克·S·雷蒙德(Eric S. Raymond)曾有名地稱之為林納斯定律:“只要有足夠的眼球,所有錯誤都是淺顯的。” 如果你有足夠的眼球,那這當然是個好訊息。
但OpenSSL正面臨著嚴重的眼球短缺。該專案由四個人維護,每年的預算不到100萬美元。另外花費一兩百萬美元進行安全審計很可能可以防止“心臟出血”漏洞。然而,OpenSSL安全是一種公共利益,它存在著資金問題:一旦它存在,就無法阻止任何人從中受益,因此許多人希望在其他人承擔費用後搭便車。
政府經常為基礎科學研究等公共產品付費。但政府並沒有投資於OpenSSL的安全性。儘管每年在網路安全上花費數十億美元,並將“網路”宣佈為國家優先事項,但政府甚至沒有提供幾百萬美元來加強這一核心安全基礎設施。
在“心臟出血”漏洞公開後,當整個網路的的使用者和小網站運營者都在想該怎麼辦時,政府也沒有提供權威、具體的建議。儘管政府向面臨自然災害或人身安全風險的人們提供此類建議,但在“心臟出血”漏洞出現時,它卻讓使用者不知所措。
相反,來自政府關於“心臟出血”漏洞的最佳訊息是白宮異常明確和直接的宣告,即美國政府的任何部門在此漏洞披露之前都不知道它。這一宣告避免瞭如果國家安全域性隱瞞了影響三分之二網路的嚴重漏洞知識而引起的強烈抗議。政府的支持者們鬆了一口氣。
許多人,包括本文的作者在內,擔心政府可能已經掌握“心臟出血”漏洞的知識數月之久,因為它更希望看到人們處於脆弱的狀態。事實證明,這種恐懼被誤解了——這次是這樣。新宣佈的政策是負責任地披露漏洞,除非有“明確的國家安全或執法需求”。一位評論員將此比作一項嚴格的政策,即除非巧克力美味,否則不會吃它。
在大多數情況下,公司比政府更不可能提供像OpenSSL安全資金和使用者廣泛指導這樣的公共產品。就“心臟出血”漏洞而言,一些公司警告使用者更改其公司網站上的密碼——這是一個好主意——但很少有公司提供一般性建議。
簡單的事實是,我們沒有所需的支援普通網際網路使用者安全的機構。公司並沒有完成全部工作。政府沒有填補這一空白——而且在恢復人們對其不採取積極措施破壞安全的信任之前,政府也無法有效地做到這一點。有人需要牽頭資助和協調基礎設施審計,組織向公眾有用的漏洞披露,併為使用者以及小型網站的運營者提供易於理解的建議和指導。
現有實體提供其中一些功能——例如,開放加密審計專案旨在資助和協調對安全關鍵的開源軟體的審計。但一箇中央組織應該統一這些努力,找出未解決的問題,並向公眾提供清晰的資訊。如果政府和私營公司都不這樣做,那麼我們需要一個獨立機構,專門為終端使用者的安全需求服務。
我們將長期與安全問題作鬥爭,沒有任何東西能讓我們完全安全。“心臟出血”漏洞不會是我們遭受的最後一個嚴重的計算機安全漏洞。但是,更好的機構可以使這些漏洞發生的頻率更低、危害更小、對使用者造成的困惑更少。憑藉一些領導力和適度的投資,我們可以擁有一個使用者安全的捍衛者。