让全球2/3网站“心脏滴血”后,OpenSSL 经历了什么?

2017-09-27 09:00 稿源:雷锋网  0条评论

如果把 OpenSSL 的 Heartbleed (心脏滴血)漏洞称为互联网安全历史上最严重的漏洞之一,想必不会有太多人反对。

SSL(安全套接层)协议是使用最为普遍的网站加密技术,而 OpenSSL 则是开源的 SSL 套件,为全球成千上万的 web 服务器所使用。这个严重漏洞出现后,全球三分之二的网站可被攻击,这种攻击还是“敞开了门,可以随意掠夺信息”的那种。

2014 年 4 月 9 日,该漏洞被曝光后, OpenSSL 背后的团队才被媒体争相报道,他们的故事逐渐为人所知。 2015 年,锤子科技罗永浩宣布对 OpenSSL 捐款 200 万元,某媒体发表一篇以 OpenSSL 为主角的《隐形战友》后, OpenSSL “火”了。随之而来的,是另一位知名人士对该文章的反对——《到底谁在捍卫我们的隐私?OpenSSL的真实故事》。

争论的角度集中在这几个方面:

1. OpenSSL 真的有这么英雄主义吗?

2. OpenSSL 真的有这么穷吗?之前少有人给他们捐款吗?

3.真实的 OpenSSL到底是什么样子?

9 月 23 日, OpenSSL 团队成员参观白山云科技公司时,OpenSSL创始人之一,美国国防部前顾问 Steve Marquess(也就是《隐形战友》中的史蒂夫)、OpenSSL前身SSLeay创建者,OpenSSL创始人之一 Tim Hudson 和白山云科技架构师,OpenSSL代码贡献榜排名18 的杨洋接受了包括雷锋网(公众号:雷锋网)宅客频道在内的媒体采访。

杨洋(左一)、 Tim Hudson(左二)、Steve Marquess(右一)

OpenSSL 的真实故事应该由他们自己来说。

--

“心脏滴血”后 OpenSSL 发生了什么

Steve 一行人此前从没有来过中国。

这个星期里,Steve  和 OpenSSL 其他 4 名核心成员还陆续参观了阿里巴巴、百度、腾讯、华为、锤子科技等,最后一站他们来到了好队友杨洋所在的白山云科技。

华为和锤子科技确实是中国两家对 OpenSSL 捐款最多的公司,Steve 在白山云科技的这场活动中,先对两家公司表示了感谢。

“我们收到的来自中国的资助要比其他任何一个国家都多。”Steve说。

现在 OpenSSL 日子已经过得好多了,相比三年前只有两个全职员工,他们现在有个 4 名全职员工,其中两个全职人员这次也来到了中国。

“‘心脏出血’是惨痛的经历,但是发生这件事情也有好处,这件事情显示了计算技术和互联网有多大程度依赖 OpenSSL,很多媒体进行了报道。它的发生是由于严重的安全漏洞,OpenSSL 规模那么大、复杂程度那么高、影响面那么大,却没有足够的人力保障它的安全,这是个问题。”Steve 这样表述了“心脏滴血”漏洞发生的原因。

虽然,在《到底谁在捍卫我们的隐私?OpenSSL 的真实故事》中,作者这样写道:

“OpenSSL 公布‘心脏出血’漏洞的过程也非常有问题。一般出现严重漏洞的流程,是先不对公众公布,立即通知主流操作系统维护者和相关厂商,让大家先修改,之后一起发布安全公告和升级。之所以这样做,是因为如果操作系统不去打补丁,很多普通用户知道漏洞也没办法修补,反而让黑客们更容易利用这些漏洞。OpenSSL 不是这么做的,在 Google 告知了他们漏洞之后,OpenSSL 没有告知任何一家操作系统厂商,反而奇怪的被几家主要 CDN 厂商知道了,也就是说,在不知道哪个环节发生了泄密。之后开源社区中开始有关于这个重大 Bug 的传言,直到这个时候,几大操作系统仍然没得到正式通知。又过了 3 天,OpenSSL 才告知了Red Hat……”

在那三天里,OpenSSL 到底发生了什么?

Tim 称:“据我所知,心脏滴血事件是由两个团队互不知情的情况下独立发现的。我只对我们所作出的反应负责,对其他公司没办法负责。当时这个漏洞是非常严重的危险级别,我们所采取的措施也是当时认为合理的措施。整个过程中谁做了什么、谁发现了什么漏洞,这都是公开的,可以在我们的网站上查得到。”

出了这么大的事情,Steve说,对于一个人手有限的团队来讲日子确实不好过。一个看上去本来籍籍无名的团队瞬间火了,Steve 的好朋友,甚至连他的牙医都关心地询问:“最近老在电视上看到你,要不要紧?”

那一段时间,OpenSSL 倍感压力,收到了很多批评的声音,他们如履薄冰,担心未来可能重蹈覆辙,但也收到了一些鼓励的反馈。让 Steve 觉得温暖的是,一些他甚至都没听过名字的非洲国家都发来了鼓励的邮件,以前团队不太关注的中国也发来了“令人鼓舞的信息”。

“除了扩展到有 4 个全职员工的团队,一些 OpenSSL 的成员尽管有自己本职工作,但是他们的公司会鼓励他们做一些 OpenSSL 的工作,这些公司以间接的方式给我们提供了支持。我们还收到数百个中国人以及锤子科技、华为这两个中国企业给我们的资助,我们收到中国的资助要比其他任何一个国家都多。” Steve 说。

此后则是 OpenSSL 的复苏。

这个团队经历了重建,从系统上还了之前欠下的技术债。这些技术债是指一些之前没有进行很好的重构与精减的代码,后来又不断加入新代码和功能,OpenSSL 做了梳理和筛减,尽可能让内部结构变得不透明,他们有了新代码库,第一次重要审计也是在这个期间完成。

此前,还有诟病 OpenSSL 团队管理混乱的声音, Steve称,情况得到了改善,现在OpenSSL 有 14 位 “贡献者”和 10 位管委会成员,其中有 8 名是身兼两职。

有好的文章希望站长之家帮助分享推广,猛戳这里我要投稿

相关文章

相关热点

查看更多