在過去兩年的大部分時間裡,三分之二的網站容易受到遠端攻擊者的記憶體提取——記憶體中包含私人資訊、密碼和加密金鑰。這個缺陷被稱為“心臟出血”(Heartbleed),是有史以來發現的最嚴重的網際網路安全漏洞。“心臟出血”攻擊不會顯示在大多數網站的日誌中,因此我們無法確定它被利用的範圍有多廣,或者可能洩露了什麼。
今年早些時候,當這個漏洞曝光時,白宮發表了一份異常明確和直接的宣告,稱美國政府的任何部門在披露之前都不知道“心臟出血”漏洞,從而避免瞭如果國家安全域性隱瞞如此嚴重漏洞的知識而可能引發的強烈抗議。但聯邦政府並沒有因為這一事件而輕易脫身。它犯了沒有提供領導力的錯誤,這種領導力本可以避免這場危機的發生——而且對於避免下一次危機也是必要的。
領導力差距的出現很大程度上是因為越來越多的安全軟體是“開源”的——程式碼由程式設計師為了共同利益而製作和廣泛共享。“心臟出血”漏洞是早在2011年由一位德國博士生在提交給名為 OpenSSL 的加密軟體包的程式碼中出現的一個錯誤引起的。這是一個常見的錯誤型別,但不知何故沒有人發現它。有缺陷的程式碼通過了 OpenSSL 的審查過程,並被採納到官方 OpenSSL 版本中,在那裡它被忽視了兩年。
關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保有關塑造我們今天世界的發現和想法的具有影響力的故事的未來。
像 OpenSSL 這樣的開源軟體應該有利於安全,因為每個人都可以自由閱讀和分析程式碼。開放程式碼最大限度地提高了某人、某地在錯誤損害終端使用者之前發現錯誤的可能性。開源倡導者埃裡克·S·雷蒙德 (Eric S. Raymond) 曾有名地稱之為林納斯定律:“只要有足夠的眼球,所有錯誤都是膚淺的。” 如果您有足夠的眼球,那是個好訊息。
但是 OpenSSL 面臨著嚴重的眼球短缺問題。該專案的網站列出了一個由三人組成的核心團隊,其年度預算不到 100 萬美元。再花一兩百萬美元進行安全審計很可能可以預防“心臟出血”漏洞。然而,OpenSSL 安全性是一種公共產品,存在相關的資金問題:一旦它存在,就無法阻止任何人從中受益,因此許多人希望搭別人的便車。
政府經常為基礎科學研究等公共產品付費。但政府並沒有投資於 OpenSSL 的安全性。儘管每年在網路安全上花費數十億美元,並宣佈“網路”為國家優先事項,但聯邦政府甚至沒有提供數百萬美元來加強這一核心安全基礎設施。
政府也沒有在“心臟出血”漏洞公開後提供權威、具體的建議,當時網路上的使用者和小網站運營商都在想該怎麼辦。儘管政府為面臨自然災害或人身安全風險的人們提供此類建議,但在“心臟出血”漏洞出現時,政府卻讓使用者束手無策。與此同時,大多數公司所做的僅僅是警告使用者更改密碼。
有人需要牽頭資助和協調基礎設施審計,組織向公眾有用披露漏洞,併為使用者和小型網站運營商提供可訪問的建議和指導。現有實體執行其中一些職能——例如,在“心臟出血”事件之後,Linux 基金會和幾家科技公司承諾為開源安全提供支援,包括資金——但一箇中央組織應該統一努力,找出未解決的問題,並向公眾呈現清晰的資訊。如果政府和私營公司都不站出來,那麼我們需要一個獨立的機構來專門服務於終端使用者的安全需求。
我們將長期與安全作鬥爭,沒有什麼可以使我們完全安全。但更好的機構可以使這些危機不那麼頻繁、不那麼嚴重,並且對使用者來說不那麼令人困惑。透過一些領導和適度的投資,我們可以擁有一位使用者安全衛士。