“心臟流血”暴露OpenSSL缺陷：人手資金短缺

導語：美國《華爾街日報》網絡版今天撰文稱，震驚互聯網的“心臟流血”漏洞暴露出OpenSSL的一大軟肋：如此重要的項目多年來始終面臨資金和人手不足的窘境，多數工作都要由位數不多的志願者來完成。

以下為文章主要內容：

本周在全球掀起軒然大波的OpenSSL“心臟流血”漏洞，暴露出互聯網安全領域的一大薄弱環節：該項目的工作量十分艱巨，但多數工作都僅由4位歐洲程序員以及美國馬裏蘭的1位前軍事顧問承擔。

這個團隊由11人組成，但多數都是志願者，只有1人全職為其效力。他們每年的預算不到100萬美元，而本周一披露的“心臟流血”漏洞則是一位年輕的德國研究人員的一個無心之舉導致的。

“這個項目的人員之少令人震驚。”美國安全公司Social & Scientific Systems加密專家肯尼斯·懷特(Kenneth White)，“要知道，這可是當今互聯網上最為複雜的通訊代碼之一。”

OpenSSL項目創立於1998年，目的是提供一組免費的加密工具。經過多年的發展后，全世界大約有三分之二的網絡伺服器都採用了這一工具。各大網站、網絡設備公司和政府機構都利用OpenSSL工具保護個人信息和其他敏感數據。

因此，當谷歌和Codenomicon周一披露黑客可能借助“心臟流血”竊取這類數據后，互聯網立刻陷入恐慌。

而在彭博社周五披露美國國家安全局(以下簡稱“NSA”)早在兩年前就已經知曉這一漏洞，並且藉此搜集外國情報后，恐慌情緒進一步蔓延。不過，NSA、白宮和美國國家情報總監辦公室均否認了這一報導。

“有關NSA或其他政府部門在2014年4月之前便已知曉所謂的‘心臟流血’漏洞的報導，均不屬實。”白宮國家安全委員會發言人卡特琳·海登(Caitlin Hayden)。

周五早些時候，一位向OpenSSL提供志願服務的德國程序員承認，他在2011年跨年夜當天開發OpenSSL漏洞修復程序時，無意間引出了這一漏洞。這位名叫羅賓·賽格爾曼(Robin Seggelmann)程序員現年31歲，任職於德國電信旗下的T-Systems。他在一篇博客中表示，很多參與OpenSSL的程序員都沒有注意到這項錯誤。

在複雜的程序中，錯誤在所難免，微軟、蘋果和谷歌每月都會宣佈多項系統漏洞。但接近OpenSSL項目的人士表示，該項目的一部分資金來自於外界捐助，而資金和人手不足導致該問題進一步惡化，使之在長達兩年的時間內都沒有被人發現。

“心臟流血”漏洞還引發了另外一個問題：互聯網是否應該如此集中地依賴同一款技術來保護數據安全。“只要技術過於集中，便會因為一個漏洞令所有人遭遇威脅。”約翰霍普金斯大學密碼學專家馬修·格林(Matthew Green)。

OpenSSL項目只擁有一名全職開發者：史蒂芬·亨森(Stephen Henson)，這位46歲的英國密碼學家擁有數學博士學位。另外兩位英國居民和一位德國開發者則組成了該項目的管理團隊。

在同事眼中，亨森才華橫溢，但他為人有些冷淡，而且工作負荷過大。當一些企業向他詢問使用OpenSSL的免費建議時，他反問道：“如果我向你的公司尋求大量的免費建議，你們會作何反應？”

OpenSSL項目的工作模式如下：該團隊不斷改進一種名為SSL或TLS的加密協議，從而保證黑客無法讀取用戶發給網站的信息。這種如今被廣泛使用的軟件的基礎代碼，是埃裏克·楊(Eric Young)在1990年代開發的，他目前在EMC旗下的RSA安全部門擔任工程師。

OpenSSL的所有團隊都位於美國之外，目的是避免高級加密技術受到軍火出口法律的限制。

OpenSSL開發團隊的志願者傑弗裏·索普(Geoffrey Thorpe)表示，由於他在一家軟件技術公司的工作非常繁忙，所以分配給該項目的時間很少。家住魁北克市的索普：“這就像清理下水道，又骯髒、又複雜，但出問題前，一切都會被人視為理所當然的。”

過去十年間，家住馬裏蘭州的美國國防部前顧問史蒂夫·馬奎斯(Steve Marquess)通過一個名叫“OpenSSL軟件基金會”的組織，為該項目籌集捐款和簽訂諮詢合同。

馬奎斯曾經幫助OpenSSL項目從美國國土安全部和國防部拉到了贊助，但他無法證實彭博社周五報導的真實性。

自從“心臟流血”漏洞曝光后，該基金會的捐款額略有提升，但多數仍是5美元和10美元的小額捐款。更重要的是，OpenSSL還需要更多人手對代碼進行審核。

美國網絡安全公司Qualys表示，他們向OpenSSL軟件基金會捐獻了少量資金來從事安全代碼工作。雖然該公司發言人不肯透露具體金額，但卻表示，OpenSSL將其列為“主要捐贈者”，表明其“資金嚴重不足”。(鼎宏)


[http://news.cnyes.com/Content/20140413/KIUTI34J826YI.shtml]

眼底星空

妳好喜歡看我眼睛 妳說是宇宙的縮影
只要沒有分離　天氣晴 能看見星星
我努力愛妳寵妳調整自己

我是鄰居還是伴侶 時間帶來殘忍結局
在愛情的隔壁住友情　界線太銳利
對不起　就一刀切開所有親密

眼底星空 流星開始墜落
每一滴眼淚說著妳要好好走
轉過身跌入黑洞
看著天長地久變兩種漂泊
男人流淚比流血加倍心痛

眼底星空 流星跌落手中
我緊緊握著抬頭向上天祈求
願妳先找到溫柔
有人包紮傷口也擋住寂寞
謝謝妳陪我陪愛 聽雨追風

用三年去維繫感情 用三秒鐘結束關係 剩回憶能回去能溫習能把妳抱緊 就算愛燒成灰燼揚起變烏雲 謝謝他給你給愛另一個星空

聽見下雨的聲音

主唱：魏如昀
作曲：周杰倫
填詞：方文山
編曲：陳君豪

竹籬上停留著蜻蜓
玻璃瓶裡插滿小小　森林
青春嫩綠的很　鮮明
百葉窗折射的光影
像有著心事的一張　表情
而你低頭拆信　想知道關於我的事情
青苔入鏡　簷下風鈴　搖晃曾經
回憶是一行行無從剪接的風景　愛始終年輕
而我聽見下雨的聲音
想起你用唇語說愛情
幸福也可以很安靜
我付出一直很小心
終於聽見下雨的聲音
於是我的世界被吵醒
就怕情緒紅了眼睛
不捨的淚在　彼此的　臉上透明
愛在過境　緣份不停　誰在擔心
窗台上滴落的雨滴　輕敲著傷心　淒美而動聽
而我聽見下雨的聲音
想起你用唇語說愛情
熱戀的時刻最任性
不顧一切的給約定
終於聽見下雨的聲音
於是我的世界被吵醒
發現你始終　很靠近
默默的陪在我身邊　態度堅定