AS网站目录(www.adminso.com):“心脏出血”漏洞编写者被曝光:称一时疏忽 德刊称,几天前,互联网历史上最严重的安全漏洞之一“心脏出血”被曝光。无数互联网用户一直信赖的加密功能――比如输入登录密码或使用信用卡在线支付――在很多情况下并不安全
AS网站目录(www.adminso.com):“心脏出血”漏洞编写者被曝光:称一时疏忽
德刊称,几天前,互联网历史上最严重的安全漏洞之一“心脏出血”被曝光。无数互联网用户一直信赖的加密功能――比如输入登录密码或使用信用卡在线支付――在很多情况下并不安全。
德国《明镜》周刊网站4月10日报道称,目前尚不清楚哪些服务器上的哪些数据因这一漏洞被窃取,而且很可能永远不会知道。
每个安全漏洞都有自己的源头和一名始作俑者。只是这名肇事者的姓名通常不会被提及。比如,如果微软公司的某个软件漏洞被曝光,那么公开表示为此负责的是微软公司,而并非编写了这个错误代码的雇员,也不是审核放行这个错误的人。但“心脏出血”漏洞的情况则不同。一名德国人编写了这个代码,而他的名字已经流传到了网上。
该漏洞涉及OpenSSL软件。这是一款开源软件:软件代码是公开可见并可查找错误的。它的编写者是谁对所有人而言也是可见的――假设你知道到哪里找的话。因此对不少人来说,这场追捕行动是公开的。
这名肇事者的名字最先在“推特”网站上流传开来,个别人在发布相关链接时加上了诸如这样一句话:“我现在可不想成为罗宾・S。”
整件事情真正进入白热化是在黑客费利克斯・冯・莱特纳公开这名肇事者的姓名及其目前所供职的公司之后。莱特纳怀疑,这个编程错误可能是为谋取钱财而故意设下的“后门”。“在我看来,它有‘后门’的气息和味道,具备与‘后门’的一致性,而且看起来也像一个‘后门’。”他在《法兰克福汇报》发表的文章中表达得更为谨慎:“在爆出监控丑闻的时期,这件事很容易让人想到,这会不会是一场由情报机构挑起的破坏行动。”在多数情况下,几乎无法证明一个编程错误是故意造成还是无意为之。
公开受到怀疑的罗宾・S在发给本刊的邮件中讲述了事件的另一个版本:“我参与了OpenSSL的编写工作并提交过一系列补丁和新功能。在一个新功能的补丁程序里,我显然忽略了对一个变量长度的检查。”
简而言之,S将整件事解释为在一小部分编程工作中出现的疏忽,是每个人都可能犯的错误。开源项目中的软件代码在被集成至正式版本前,必须接受检查。但S说,OpenSSL团队中测试这一代码的人并未发现这个错误。
声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!
