“心臟流血”暴露OpenSSL缺陷：人手資金短缺

導語：美國《華爾街日報》網絡版今天撰文稱，震驚互聯網的“心臟流血”漏洞暴露出OpenSSL的一大軟肋：如此重要的項目多年來始終面臨資金和人手不足的窘境，多數工作都要由位數不多的志願者來完成。

以下為文章主要內容：

本周在全球掀起軒然大波的OpenSSL“心臟流血”漏洞，暴露出互聯網安全領域的一大薄弱環節：該項目的工作量十分艱巨，但多數工作都僅由4位歐洲程序員以及美國馬裏蘭的1位前軍事顧問承擔。

這個團隊由11人組成，但多數都是志願者，只有1人全職為其效力。他們每年的預算不到100萬美元，而本周一披露的“心臟流血”漏洞則是一位年輕的德國研究人員的一個無心之舉導致的。

“這個項目的人員之少令人震驚。”美國安全公司Social & Scientific Systems加密專家肯尼斯·懷特(Kenneth White)，“要知道，這可是當今互聯網上最為複雜的通訊代碼之一。”

OpenSSL項目創立於1998年，目的是提供一組免費的加密工具。經過多年的發展后，全世界大約有三分之二的網絡伺服器都採用了這一工具。各大網站、網絡設備公司和政府機構都利用OpenSSL工具保護個人信息和其他敏感數據。

因此，當谷歌和Codenomicon周一披露黑客可能借助“心臟流血”竊取這類數據后，互聯網立刻陷入恐慌。

而在彭博社周五披露美國國家安全局(以下簡稱“NSA”)早在兩年前就已經知曉這一漏洞，並且藉此搜集外國情報后，恐慌情緒進一步蔓延。不過，NSA、白宮和美國國家情報總監辦公室均否認了這一報導。

“有關NSA或其他政府部門在2014年4月之前便已知曉所謂的‘心臟流血’漏洞的報導，均不屬實。”白宮國家安全委員會發言人卡特琳·海登(Caitlin Hayden)。

周五早些時候，一位向OpenSSL提供志願服務的德國程序員承認，他在2011年跨年夜當天開發OpenSSL漏洞修復程序時，無意間引出了這一漏洞。這位名叫羅賓·賽格爾曼(Robin Seggelmann)程序員現年31歲，任職於德國電信旗下的T-Systems。他在一篇博客中表示，很多參與OpenSSL的程序員都沒有注意到這項錯誤。

在複雜的程序中，錯誤在所難免，微軟、蘋果和谷歌每月都會宣佈多項系統漏洞。但接近OpenSSL項目的人士表示，該項目的一部分資金來自於外界捐助，而資金和人手不足導致該問題進一步惡化，使之在長達兩年的時間內都沒有被人發現。

“心臟流血”漏洞還引發了另外一個問題：互聯網是否應該如此集中地依賴同一款技術來保護數據安全。“只要技術過於集中，便會因為一個漏洞令所有人遭遇威脅。”約翰霍普金斯大學密碼學專家馬修·格林(Matthew Green)。

OpenSSL項目只擁有一名全職開發者：史蒂芬·亨森(Stephen Henson)，這位46歲的英國密碼學家擁有數學博士學位。另外兩位英國居民和一位德國開發者則組成了該項目的管理團隊。

在同事眼中，亨森才華橫溢，但他為人有些冷淡，而且工作負荷過大。當一些企業向他詢問使用OpenSSL的免費建議時，他反問道：“如果我向你的公司尋求大量的免費建議，你們會作何反應？”

OpenSSL項目的工作模式如下：該團隊不斷改進一種名為SSL或TLS的加密協議，從而保證黑客無法讀取用戶發給網站的信息。這種如今被廣泛使用的軟件的基礎代碼，是埃裏克·楊(Eric Young)在1990年代開發的，他目前在EMC旗下的RSA安全部門擔任工程師。

OpenSSL的所有團隊都位於美國之外，目的是避免高級加密技術受到軍火出口法律的限制。

OpenSSL開發團隊的志願者傑弗裏·索普(Geoffrey Thorpe)表示，由於他在一家軟件技術公司的工作非常繁忙，所以分配給該項目的時間很少。家住魁北克市的索普：“這就像清理下水道，又骯髒、又複雜，但出問題前，一切都會被人視為理所當然的。”

過去十年間，家住馬裏蘭州的美國國防部前顧問史蒂夫·馬奎斯(Steve Marquess)通過一個名叫“OpenSSL軟件基金會”的組織，為該項目籌集捐款和簽訂諮詢合同。

馬奎斯曾經幫助OpenSSL項目從美國國土安全部和國防部拉到了贊助，但他無法證實彭博社周五報導的真實性。

自從“心臟流血”漏洞曝光后，該基金會的捐款額略有提升，但多數仍是5美元和10美元的小額捐款。更重要的是，OpenSSL還需要更多人手對代碼進行審核。

美國網絡安全公司Qualys表示，他們向OpenSSL軟件基金會捐獻了少量資金來從事安全代碼工作。雖然該公司發言人不肯透露具體金額，但卻表示，OpenSSL將其列為“主要捐贈者”，表明其“資金嚴重不足”。(鼎宏)


[http://news.cnyes.com/Content/20140413/KIUTI34J826YI.shtml]