美国《华尔街日报》网络版今天撰文称,震惊互联网的“心脏流血”漏洞暴露出OpenSSL的一大软肋:如此重要的项目多年来始终面临着资金和人手不足的窘境,多数工作都要由位数不多的志愿者来完成。以下为文章主要内容:
本周在全球掀起轩然大波的OpenSSL“心脏流血”漏洞,暴露出互联网安全领域的一大薄弱环节:该项目的工作量十分艰巨,但多数工作都仅由4位欧洲程序员以及美国马里兰的1位前军事顾问承担。
这个团队由11人组成,但多数都是志愿者,只有1人全职为其效力。他们每年的预算不到100万美元,而本周一披露的“心脏流血”漏洞则是一位年轻的德国研究人员的一个无心之举导致的。
“这个项目的人员之少令人震惊。”美国安全公司Social & Scientific Systems加密专家肯尼斯·怀特(Kenneth White)说,“要知道,这可是当今互联网上最为复杂的通讯代码之一。”
OpenSSL项目创立于1998年,目的是提供一组免费的加密工具。经过多年的发展后,全世界大约有三分之二的网络服务器都采用了这一工具。各大网站、网络设备公司和政府机构都利用OpenSSL工具保护个人信息和其他敏感数据。
因此,当谷歌和Codenomicon周一披露黑客可能借助“心脏流血”窃取这类数据后,互联网立刻陷入恐慌。
而在彭博社周五披露美国国家安全局(以下简称“NSA”)早在两年前就已经知晓这一漏洞,并且借此搜集外国情报后,恐慌情绪进一步蔓延。不过,NSA、白宫和美国国家情报总监办公室均否认了这一报道。
“有关NSA或其他政府部门在2014年4月之前便已知晓所谓的‘心脏流血’漏洞的报道,均不属实。”白宫国家安全委员会发言人卡特琳·海登(Caitlin Hayden)说。
周五早些时候,一位向OpenSSL提供志愿服务的德国程序员承认,他在2011年跨年夜当天开发OpenSSL漏洞修复程序时,无意间引出了这一漏洞。这位名叫罗宾·赛格尔曼(Robin Seggelmann)程序员现年31岁,任职于德国电信旗下的T-Systems。他在一篇博客中表示,很多参与OpenSSL的程序员都没有注意到这项错误。
在复杂的程序中,错误在所难免,微软、苹果和谷歌每月都会宣布多项系统漏洞。但接近OpenSSL项目的人士表示,该项目的一部分资金来自于外界捐助,而资金和人手不足导致该问题进一步恶化,使之在长达两年的时间内都没有被人发现。
“心脏流血”漏洞还引发了另外一个问题:互联网是否应该如此集中地依赖同一款技术来保护数据安全。“只要技术过于集中,便会因为一个漏洞令所有人遭遇威胁。”约翰霍普金斯大学密码学专家马修·格林(Matthew Green)说。
OpenSSL项目只拥有一名全职开发者:史蒂芬·亨森(Stephen Henson),这位46岁的英国密码学家拥有数学博士学位。另外两位英国居民和一位德国开发者则组成了该项目的管理团队。
在同事眼中,亨森才华横溢,但他为人有些冷淡,而且工作负荷过大。当一些企业向他询问使用OpenSSL的免费建议时,他反问道:“如果我向你的公司寻求大量的免费建议,你们会作何反应?”
OpenSSL项目的工作模式如下:该团队不断改进一种名为SSL或TLS的加密协议,从而保证黑客无法读取用户发给网站的信息。这种如今被广泛使用的软件的基础代码,是埃里克·杨(Eric Young)在1990年代开发的,他目前在EMC旗下的RSA安全部门担任工程师。
OpenSSL的所有团队都位于美国之外,目的是避免高级加密技术受到军火出口法律的限制。
OpenSSL开发团队的志愿者杰弗里·索普(Geoffrey Thorpe)表示,由于他在一家软件技术公司的工作非常繁忙,所以分配给该项目的时间很少。家住魁北克市的索普说:“这就像清理下水道,又肮脏、又复杂,但出问题前,一切都会被人视为理所当然的。”
过去十年间,家住马里兰州的美国国防部前顾问史蒂夫·马奎斯(Steve Marquess)通过一个名叫“OpenSSL软件基金会”的组织,为该项目筹集捐款和签订咨询合同。
马奎斯曾经帮助OpenSSL项目从美国国土安全部和国防部拉到了赞助,但他无法证实彭博社周五报道的真实性。
自从“心脏流血”漏洞曝光后,该基金会的捐款额略有提升,但多数仍是5美元和10美元的小额捐款。更重要的是,OpenSSL还需要更多人手对代码进行审核。
美国网络安全公司Qualys表示,他们向OpenSSL软件基金会捐献了少量资金来从事安全代码工作。虽然该公司发言人不肯透露具体金额,但却表示,OpenSSL将其列为“主要捐赠者”,表明其“资金严重不足”。
