Codenomicon 和谷歌安全部門(Google Security)的研究人員在開源軟體包 OpenSSL 裡發現了一個存在兩年的安全漏洞,這一軟體包被全球上百萬個網站的加密協議所使用。這個名為 Heartbleed 的加密漏洞導致網路過於公開,促使安全專家警告網路使用者在未來幾天儘量避免使用網路。很多人懷疑這一漏洞是程式碼編寫者、來自德國明斯特的軟體開發者羅賓·西格爾曼(Robin Seggelmann)蓄意植入的, 但他本人對此表示否認。在首次媒體公開評論中西格爾曼表示,這一漏洞的出現“其實很好解釋”。
OpenSSL 軟體被很多流行的社交網路網站、搜尋引擎、銀行和網上購物網站用於保護個人和財務資料安全。這使得知道這一漏洞存在的人可以從網路伺服器裡竊取使用者名稱、密碼、信用卡資訊和其他各種敏感資訊。這也導致伺服器的加密金鑰很容易被竊取。一旦被竊取,這些金鑰將被不法分子用於解密網站伺服器和網站使用者之間傳輸的資料。“如果用0-10 來評價其危險程度,它應該是 11。”資訊保安專家布魯斯·施奈爾(Bruce Schneier)這樣說道。
西格爾曼表示他和另一名程式碼審閱者本該在 2 年前發現此漏洞,當時他們正在為開源 OpenSSL 加密協議編寫程式碼。“我當時正在改進 OpenSSL 並提交了大量漏洞修復,同時新增了一些新的特徵,” 西格爾曼說道。“不幸的是,在其中一個新特徵裡,我忘記驗證一個包含字串長度的變數。”在西格爾曼遞交程式碼後,另一名審閱者“很明顯也沒有注意到他的失誤”,所以這一錯誤就出現在最終釋出的版本里。指令碼顯示這名審閱者是斯蒂芬·亨森(Stephen Henson)博士。西格爾曼比表示這一錯誤“非常小”,但也承認它的影響是“致命的”。
陰謀論
很多陰謀論者認為這一錯誤是西格爾曼比本人惡意植入的。西格爾曼解釋稱人們這麼想情有可原,尤其是在愛德華·斯諾登(Edward Snowden)曝光了美國國家安全域性和其它組織進行的間諜活動後。“但事實是,這只是一個新特徵裡的簡單的程式錯誤,不幸的是,它恰巧影響了系統安全。這完全不是蓄意行為,而且我本人一直致力於修復 OpenSSL 漏洞並提升其效能 。”
儘管西格爾曼否認他蓄意植入錯誤程式碼,但過去兩年裡情報局利用這一漏洞也是可能的。“這是可能的,在安全問題上就應該做最壞的打算。” 西格爾曼呼籲更多軟體開發者關注開源軟體的程式碼。“開原始碼的優勢在於任何人都能瀏覽它的程式碼。看得人越多,漏洞被發現的可能性就更大。”