白水泥厂家
免费服务热线

Free service

hotline

010-00000000
白水泥厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

心脏流血暴露OpenSSL缺点人手资金短缺

发布时间:2020-03-23 16:43:48 阅读: 来源:白水泥厂家

美国《华尔街日报》网络版今天撰文称,震惊互联网的“心脏流血”漏洞暴露出OpenSSL的1大软肋:如此重要的项目多年来始终面临着资金和人手不足的窘境,多数工作都要由位数不多的志愿者来完成。以下为文章主要内容:

本周在全球掀起轩然大波的OpenSSL“心脏流血”漏洞,暴露出互联网安全领域的1大薄弱环节:该项目的工作量十分艰巨,但多数工作都仅由4位欧洲程序员和美国马里兰的1位前军事顾问承当。

这个团队由11人组成,但多数都是志愿者,只有1人全职为其效率。他们每一年的预算不到100万美元,而本周一表露的“心脏流血”漏洞则是一名年轻的德国研究人员的一个无意之举致使的。

“这个项目的人员之少使人震惊。”美国安全公司Social & Scientific Systems加密专家肯尼斯·怀特(Kenneth White)说,“要知道,这可是现今互联网上最为复杂的通讯代码之一。”

OpenSSL项目创建于1998年,目的是提供一组免费的加密工具。经过多年的发展后,全球大约有三分之二的网络服务器都采取了这1工具。各大网站、网络设备公司和政府机构都利用OpenSSL工具保护个人信息和其他敏感数据。

因此,当谷歌和Codenomicon周一表露黑客可能借助“心脏流血”盗取这类数据后,互联网立刻堕入恐慌。

而在彭博社周五表露美国国家安全局(以下简称“NSA”)早在两年前就已知晓这1漏洞,并且借此搜集外国情报后,恐慌情绪进一步蔓延。不过,NSA、白宫和美国国家情报总监办公室均否认了这1报导。

“有关NSA或其他政府部门在2014年4月之前便已知晓所谓的‘心脏流血’漏洞的报导,均不属实。”白宫国家安全委员会发言人卡特琳·海登(Caitlin Hayden)说。

周五早些时候,一名向OpenSSL提供志愿服务的德国程序员承认,他在2011年跨年夜当天开发OpenSSL漏洞修复程序时,无意间引出了这1漏洞。这位名叫罗宾·赛格尔曼(Robin Seggelmann)程序员现年31岁,任职于德国电信旗下的T-Systems。他在一篇博客中表示,很多参与OpenSSL的程序员都没有注意到这项毛病。

在复杂的程序中,毛病在所难免,微软、苹果和谷歌每个月都会宣布多项系统漏洞。但接近OpenSSL项目的人士表示,该项目的一部分资金来自于外界捐助,而资金和人手不足致使该问题进一步恶化,使之在长达两年的时间内都没有被人发现。

“心脏流血”漏洞还引发了另外一个问题:互联网是不是应当如此集中地依赖同一款技术来保护数据安全。“只要技术过于集中,便会由于一个漏洞令所有人遭受威逼。”约翰霍普金斯大学密码学专家马修·格林(Matthew Green)说。

OpenSSL项目只具有1名全职开发者:史蒂芬·亨森(Stephen Henson),这位46岁的英国密码学家具有数学博士学位。另外两位英国居民和一名德国开发者则组成了该项目的管理团队。

在同事眼中,亨森才华横溢,但他为人有些冷漠,而且工作负荷过大。当一些企业向他询问使用OpenSSL的免费建议时,他反问道:“如果我向你的公司寻求大量的免费建议,你们会作何反应?”

OpenSSL项目的工作模式以下:该团队不断改进一种名为SSL或TLS的加密协议,从而保证黑客没法读取用户发给网站的信息。这类如今被广泛使用的软件的基础代码,是埃里克·杨(Eric Young)在1990年代开发的,他目前在EMC旗下的RSA安全部门担负工程师。

OpenSSL的所有团队都位于美国以外,目的是避免高级加密技术遭到军火出口法律的限制。

OpenSSL开发团队的志愿者杰弗里·索普(Geoffrey Thorpe)表示,由于他在一家软件技术公司的工作非常繁忙,所以分配给该项目的时间很少。家住魁北克市的索普说:“这就像清算下水道,又邋遢、又复杂,但出问题前,一切都会被人视为天经地义的。”

过去十年间,家住马里兰州的美国国防部前顾问史蒂夫·马奎斯(Steve Marquess)通过一个名叫“OpenSSL软件基金会”的组织,为该项目筹集捐款和签订咨询合同。

马奎斯曾帮助OpenSSL项目从美国国土安全部和国防部拉到了资助,但他没法证实彭博社周五报导的真实性。

自从“心脏流血”漏洞暴光后,该基金会的捐款额略有提升,但多数仍是5美元和10美元的小额捐款。更重要的是,OpenSSL还需要更多人手对代码进行审核。

美国网络安全公司Qualys表示,他们向OpenSSL软件基金会捐献了少许资金来从事安全代码工作。虽然该公司发言人不肯泄漏具体金额,但却表示,OpenSSL将其列为“主要捐赠者”,表明其“资金严重不足”。

上海德沁机械有限公司

上海德沁机械有限公司

国产洗地机

上海德沁机械有限公司