含钛废料厂家
免费服务热线

Free service

hotline

010-00000000
含钛废料厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

德软件开发者否认蓄意植入血汗安全漏洞

发布时间:2019-02-12 15:57:46 阅读: 来源:含钛废料厂家

Codenomicon和谷歌安全部门(Google Security)的研究人员在开源软件包OpenSSL里发现了一个存在两年的安全漏洞,这1软件包被全球上百万个网站的加密协议所使用。这个名为Heartbleed的加密漏洞致使网络过于公然,促使安全专家正告网络用户在未来几天尽可能避免使用网络。很多人怀疑这1漏洞是代码编写者、来自德国明斯特的软件开发者罗宾·西格尔曼(Robin Seggelmann)蓄意植入的, 但他本人对此表示否认。在首次媒体公然评论中西格尔曼表示,这1漏洞的出现“其实很好解释”。

OpenSSL软件被很多流行的社交网络网站、搜索引擎、银行和网上购物网站用于保护个人和财务数据安全。这使得知道这1漏洞存在的人可以从网络服务器里盗取用户名、密码、信用卡信息和其他各种敏感信息。这也致使服务器的加密密钥很容易被盗取。一旦被盗取,这些密钥将被不法分子用于解密网站服务器和网站用户之间传输的数据。“如果用0-10来评价其危险程度,它应该是11。”信息安全专家布鲁斯·施奈尔(Bruce Schneier)这样说道。

西格尔曼表示他和另外一名代码审阅者本该在2年前发现此漏洞,当时他们正在为开源OpenSSL加密协议编写代码。“我当时正在改进OpenSSL并提交了大量漏洞修复,同时添加了一些新的特点,” 西格尔曼说道。“不幸的是,在其中一个新特点里,我忘记验证一个包括字符串长度的变量。”在西格尔曼递交代码后,另外一名审阅者“很明显也没有注意到他的失误”,所以这1毛病就出现在终究发布的版本里。脚本显示这名审阅者是斯蒂芬·亨森(Stephen Henson)博士。西格尔曼比表示这1毛病“非常小”,但也承认它的影响是“致命的”。

诡计论

很多诡计论者认为这1毛病是西格尔曼比本人歹意植入的。西格尔曼解释称人们这么想情有可原,尤其是在爱德华·斯诺登(Edward Snowden)暴光了美国国家安全局和其它组织进行的特务活动后。“但事实是,这只是一个新特点里的简单的程序毛病,不幸的是,它恰巧影响了系统安全。这完全不是蓄意行动,而且我本人一直致力于修复OpenSSL漏洞并提升其性能 。”

虽然西格尔曼否认他蓄意植入错误代码,但过去两年里情报局利用这1漏洞也是可能的。“这是可能的,在安全问题上就应当做最坏的打算。”西格尔曼呼吁更多软件开发者关注开源软件的代码。“开源代码的优势在于任何人都能阅读它的代码。看得人越多,漏洞被发现的可能性就更大。”

冶金工程

白癜风专科医院

北京专业治疗白癜风医院