该心脏出血漏洞加密漏洞也许是人们记忆中最严重的网络安全漏洞,影响数亿人。Heartbleed漏洞可在OpenSSL(一种用于安全套接字层(SSL)的开源加密库)中找到,该库已广泛部署在世界各地的Linux服务器和Internet基础结构上。
在围绕Heartbleed问题的媒体马戏中,可能不太了解的是,从一开始就如何包装和贴上这个关键的安全问题。不幸的是,这也是一个漏洞,因为它的披露流程不完善,只会给安全隐患增加更多的动力和忧虑。
4月7日,原OpenSSL的咨询首次发行,其中没有提到该缺陷为“心脏出血漏洞”,而是在OpenSSL创建“心跳”的缺陷。心跳是指功能在OpenSSL中提供的技术监视功能。
安全研究公司Codenomicon的创立是Heartbleed这个名称以及精心设计的徽标(已在无数媒体报道中重复使用)。Codenomicon与Google安全研究人员一道为Heartbleed漏洞的最初发现赢得了荣誉。
Heartbleed图标由该公司首席营销官Codenomicon设计师Hope Frank告诉eWEEK内部创建。Codenomicon还在4月5日注册了heartbleed.com域,该域已成为传播有关安全问题信息的关键资源。
弗兰克说:“我们的意图绝不是推销产品,而是提供信息,教育和建议。” “这就是为什么我们决定发布内部Heartbleed内容并创建网站的原因。该域恰好可用。”
弗兰克说,Codenomicon希望利用它的发现来迅速教育那些需要信息的人,并补充说信息是在OpenSSL.org发现该漏洞后发布的。
披露程序
Heartbleed漏洞背后的整个披露过程也是许多审查和关注的主题。通常,在开源安全公开方案中,存在某种形式的基于非公开协议(NDA)的信息,这些信息会在封闭的供应商安全社区列表中发布。通常的想法是,通过共同努力,在进行公共咨询时,多个供应商和服务都可以准备好发布的补丁程序。
Heartbleed并没有发生这种情况。
谷歌和云安全供应商CloudFlare是一个非常小的小组,可以通过某种方式尽早获得该漏洞,并能够在OpenSSL公开征询之前于4月7日进行修补。
CloudFlare首席执行官马修·普林斯(Matthew Prince)告诉eWEEK,事实上,上周初,参与发现该漏洞的研究人员通知了他的公司。
但是,其他供应商和Web服务(包括云供应商)显然没有得到相同的消息。云服务供应商DigitalOcean就是在4月7日争夺服务器补丁的公司之一。
DigitalOcean首席技术推广员约翰·埃德加(John Edgar)对eWEEK表示: “我们认为这是现代互联网中发现的最严重的漏洞之一,我觉得整个披露的处理方式绝对是残酷的。”
埃德加说,尽管很难处理敏感的安全性披露,但可以做出更多的努力并扩大传播范围,以包括和保护Internet服务。
“从我的角度来看,这家芬兰安全公司(Codenomicon)确实以安全的名义扮演了Heartbleed的角色,作为市场营销和公关公司,”埃德加说。“这是一种耻辱,可能会鼓励其他人也这样做。”
Codenomicon对于如何处理披露流程有不同的看法。Codenomicon首席研究官Ari Takanen告诉eWEEK,他的团队发现了Heartbleed错误,同时改进了Codenomicon Defensics安全测试工具中的SafeGuard功能。他说,Codenomicon的Defensics安全测试工具的SafeGuard功能会自动测试目标系统是否存在损害完整性,隐私或安全性的弱点。
一旦Codenomicon发现了Heartbleed错误,便将其报告给芬兰国家网络安全中心(NCSC-FI),以进行漏洞协调并报告给OpenSSL团队。
Takanen说:“在发现后的数小时内,我们联系了NCSC-FI进行漏洞协调。” “我们写了一个问答集来支持在与供应商和服务提供商联系时进行漏洞协调;它比预期的要快得多,其他人公开了该漏洞,我们认为问答集也可以帮助公众。”
DigitalOcean的Edgar指出,他知道不可能将整个Internet置于NDA之下,以便提前通知所有有关安全问题的各方。但是,埃德加(Edgar)表示,他对供应商和服务提供商的所有服务器管理员(包括其竞争对手亚马逊AWS)感到非常难过,他们必须迅速争夺解决Heartbleed问题。
埃德加说:“我对每个在咨询服务发布后不得不争先恐后解决问题的人感到难过,这就是重点,我们不应该在这样的情况下争先恐后;这是不公平的,而且处理不善。”
