互联历史上最为严重的网络安全漏洞

从芬兰到硅谷,有一支小规模的漏洞猎手团队发现了互联历史上最为严重的网络安全漏洞,并为之积极准备着。

最近Heartbleed这个词可谓是家喻户晓,这个安全漏洞引起了几乎每个网民的担心。但其实David Chartier 早在一周前,当所有人还蒙在鼓里的时候,就已经知道它的存在了。

周五一大早,Codenomicon安全公司的CEO Chartier 接到了一个从芬兰打来的电话,那时他才刚刚到达在硅谷的办公室。在那个平常的不能再平常的阴霾天,Chartier 同往常一样接起了电话,另一头是公司的首席网络安全工程师,他所在的网络安全队伍在全世界最大的开源加密服务OpenSSL中找到了一个严重漏洞。最为可怕的是,这个用于保护用户个人隐私的OpenSSL被几乎所有的主流网站所采用,包括Google和Facebook。

Chartier明白,事情非同小可,但在那个瞬间,他也不太清楚接下来会发生什么。

创立于2001年的Codenomicon是由一群芬兰IT专家建立的国际网络安全研究所,它在全世界六个国家都有自己的办公室。这群专家其实各个都是赏金漏洞猎人,而Codenomicon的工程师的日常工作,或者说最擅长的工作,就是为软件检查漏洞,再写出修复补丁。Verizon,微软还有Adobe都是他们的客户。

作为公司CEO的Chartier 已经有20多年的相关工作经验了,见识过的漏洞也不胜计数。但这次不一样。就算是著名的计算机安全研究员Bruce Schneier 后来也把这个漏洞视为“灾难性”的安全事故,影响了几乎所有网民——“如果评级是1到10,这次达到了11级。” 他写道。

在挂电话之前,Chartier 让其中一个芬兰工程师马上写一串漏洞检测代码去攻击自己的网站。这样一来他就可以了解到,如果黑客真的发现漏洞,会对网站造成多么严重的损失。

凭过去的经验,Chartier 判断接下来的24小时会非常关键,而最重要的就是做好保密——Chartier 用自己公司内部的加密通信设备,通知他的芬兰工程师团队把修复补丁写出来。

“我们把它视作最高机密,谁也不能泄密,我们甚至还检查了自己有没有被监听。”
Chartier一个人在硅谷指导着远在芬兰的团队。

“那些报道一点都不夸张,成千上万的网络服务器都在使用OpenSSL,太多人受牵连了。” David Chartier 说。

首先要做的就是把漏洞上报到芬兰国家网络安全中心,也就是业内人士熟知的“CERT(计算机紧急响应小组)” 。漏洞是在广泛部署的OpenSSL加密服务中发现的,所以周六早上,CERT就集合了由全球共12个志愿开发人员组成OpenSSL 项目小组。CERT指挥他们开始更新自己的系统,并尽快备好补丁,以面向公众发布。

Chartier 并不知道,在Google里的一位鲜为人知的安全专家Neel Mehta 也在同一天发现并同时报告了OpenSSL 的漏洞。有趣的是,这个漏洞其实早在2012年3月就有了,这两个完全不相干的团队同时发现并上报,多少有些蹊跷。(Mehta不愿就这篇文章接受采访)

不管怎样,Chartier 和他的团队必须尽力。他明白,要是由OpenSSL 小组自己来公布这个漏洞报告,所含信息很可能不多,用户也不太清楚要怎么应对。于是,他决定就这个安全漏洞准备一场宣传活动,把信息充分地传出去。

“漏洞报告更新天天都有,已是家常便饭,” Chartier说,“你作为IT经理,怎么样能够判断哪些是重要的而哪些不是呢?所以我们为报告取了名,还准备了一些Q&A,为的就是让人们明确知道这是这么多年来最为严重的一个漏洞。”

一直到周五的晚上,这个漏洞还一直被标识为“CVE-2014-0160“。周六早晨,在芬兰首都赫尔辛基办公室工作的Codenomicon 系统管理员Ossi Herrala 想到了这个名字:Heartbleed。

“OpenSSL上有一个扩展叫做Hearbeat,”Chatier 解释说:“Ossi觉得Heartbleed 很贴切,因为内存里用户的重要信息像血一样流了出来。”

Marko Laaso也是Codenomicon的员工,在周六一大早他就注册了 Heartbleed.com这个域名。而在2008年,Heartbleed.com 则是一个给忧郁症患儿分享歌词和链接的网站。

整个团队非常高效。设计师开始设计Logo——一颗正在流血的心。当网站注册成功,Logo也确定之后,市场部就着手准备网站上的Q&A内容了。

周日的时候,Codenomicon的员工们用加密通讯工具交流,而Chartier继续监测网络,他要确保这个漏洞的消息没有被泄露出去。到了当天晚上,所有的营销材料准备就绪,整个团队也紧张的等待着,等着在OpenSSL发布补丁的第一时间上线Heartbleed.com。

“在补丁发布前,我们不可能先把消息发布出去,这只会引起恐慌,因为在补丁出来前,用户根本不明白要怎么保护自己。那样做这也违背了我们本意。”Chartier说。

最终到了周一下午,Heartbleed.com 终于上线,人们一下子涌了进来,媒体也纷纷跟进报道。基本上所有主流媒体,从CNN 到 华盛顿邮报 再到纽约客,都报道了OpenSSL漏洞的事。截止到周三下午,算起来连48小时都不到,网站就有140万不同的独立访问,现在则接近200万。Heartbleed.com 能起到这么大的作用,Chartier备感欣慰。

“保障网络安全就是我们的使命,” Chartier 提到。“IT安全社区也尽全力打了一场胜仗,这份功劳属于整个IT安全社区。”

时间: 2024-10-23 07:14:29

互联历史上最为严重的网络安全漏洞的相关文章

盘点科技历史上最为拉风的三大巨型仪器设备

&http://www.aliyun.com/zixun/aggregation/37954.html">nbsp;      [ 科技讯]8月19日消息,据媒体报道,随着科技的发展,很多东西越来越高效能,体积也越来越小,但有些仪器设备还是需要大型尺寸的.下面介绍科技历史上3款巨型仪器,这些仪器因实验的特殊需求,尺寸与正常仪器相去甚远,看上去竟颇为拉风,虽然并不是刻意追求这些东西,但也是为之增添风采. 1.离心分离机 正常尺寸: 简单来讲,离心分离器就是一个可旋转的装置.当这个设备

PCWorld:浏览器历史上15大重要转折点(组图)

导读:美国<PC World>网络版今天撰文,回顾了浏览器历史上15个最为重大的转折点. 2009年10月13日是第一款商业化网络浏览器,即Netscape Navigator测试版面世15周年的日子,这是互联网历史上重要的里程碑之一.尽管互联网之父蒂姆·贝纳斯-李(Tim Berners-Lee)以及美国国家超级计算应用中心(National Center for Supercomputing Applications,以下简称"NCSA")的一个研究团队等研究人员在19

历史上留下浓重一笔的黑客们

在互联网发展早期,黑客往往是一些因为兴趣而惹祸上身的天才少年,但随着互联网经济成为世界经济的重要一部分,让很多人对黑客产生了兴趣,因此今天很多黑客入侵电脑通常就是为了钱,而据一些专家表示,世界上一些顶级网络骗子每年收入可达一亿美元. 为此国外网站businessinsider罗列了十位让你生活可以立马变得苦不堪言的黑客,趁这次机会,就让我们一起看下那些年都有哪些黑客在历史上留下了浓重的一笔. 第一位:盗刷金额最大的黑客Albert Gonzalez 作为一名黑客,Albert Gonzalez在

以威胁情报驱动安全互联 堵上攻击威胁的口子

我们时常听到一句话,"道高一尺,魔高一丈",意指为正义而奋斗,必定会受到邪恶势力的巨大压制.在网络安全防护领域,信息安全提供商的目标誓要将前面这句话反过来,也就是做到"魔高一尺,道高一丈".黑客的本领高一招,安全防范的技术就大一层,不管攻击者如何变化,都跳不出安全的防御圈. 说起来容易,做起来难!总结安全威胁态势的发展,一是攻击形态愈发复杂:二是攻防时间失衡,企业一旦遭受攻击,往往数分钟之内即沦陷,伴随着的缺是过长的响应时间:三是专业的安全人员和技能缺乏,以及有限的

历史上10款设计最失败的键盘

键盘作为人机互动的主要操作工具,一直是消费者较为看重的配件.随着各大外设品牌在键盘做工方面的逐渐改进,如今的键盘不仅在外观上令人爱不释手,而且手感和功能都改进了不少.  05年荣获北美销量王的微软人体工学4000键盘  史上最糟糕的10款键盘 当我们敲打着舒适的键盘浏览各个网站时,你绝对不会想到,历史上还曾经出现过10款做工极其失败的键盘,这些产品大多产于19世纪70年代和80年代,在今天看来,它们的缺点的确不少. 1982年的Commodore 64键盘 Commodore 64是一段个人计算

从黑客的角度来找出网络安全漏洞精简版

以下的文章主要向大家讲述的是从黑客的角度来来找出网络安全漏洞,其中也有都对用开源工具收集安全漏洞信息,从外部审视网络安全漏洞等相关内容的描述,以下就是文章的主要内容的纤细解析.作为企业安全管理员来说,当然希望企业拥有一个相对完美的系统,但在实际看来这是不可能的.往往某个系统或软件的漏洞就会被黑客所利用,正所谓师夷长技以制夷,通过黑客的眼光来审视网络安全性,往往可以发现很多潜在的安全漏洞.这样做不仅提供了审视你网络系统的不同视角,而且让你能够从你的 敌人,即黑客的角度来指导你采取最有效的网络安全措

【致敬】历史上最伟大的12位程序员

所谓程序员,是指那些能够创造.编写计算机程序的人.不论一个人是什么样的程序员,或多或少,他都在为我们这个社会贡献着什么东西.然而,有些程序员的贡献却超过了一个普通人一辈子能奉献的力量.这些程序员是先驱,受人尊重,他们贡献的东西改变了我们人类的整个文明进程.下面就让我们看看人类历史上最伟大的12位程序员. 1.第一位计算机程序员:埃达·洛夫莱斯 Ada Lovelace 埃达·洛夫莱斯,原名奥古斯塔·埃达·拜伦,是著名英国诗人拜伦之女.数学爱好者,被后人公认为第一位计算机程序员. 在1842年与1

政府安全资讯精选 2017年第十二期 中国网络安全漏洞披露平均效率远超美国; 美国美国国土安全部发布指令,要求联邦机构强化Web和电子邮件安全

  [国内政策分析] 安徽合肥开出首张<网络安全法>罚单 点击查看原文   概要:合肥市公安局高新分局对某企业的门户网站被植入木马病毒的案件进行调差.同时,对该单位网络安全负责人和负责维护合肥某信息产业有限公司的负责人开出了合肥市首张违反<网络安全法>处罚决定,对未落实网络安全保护责任的行为下达整改通知书,并处以警告处罚.   点评:该企业违反了<网安法>第二十一条,"网络运营者应当按照网络安全等级保护制度的要求,采取防范计算机病毒和网络攻击.网络侵入等危害网

盘点:中国历史上最杰出的“十位圣人”

我们经常把在某一领域有着杰出贡献的人物,称之为"圣人".在中国历史上有很多的这样的"圣人",今天小编就为大家盘点一下,其中最为杰出最具代表性的"十位圣人",一起来膜拜下吧. 一.至圣孔子 孔子,名丘,字仲尼,春秋时鲁国陬邑(今山东曲阜南)人.我国古代著名思想家.政治家.教育家,儒家学说的创始人.汉以后,孔子的学说逐渐成为中国封建文化的正统,影响极大,后世一直把他尊为"圣人",号称"至圣先师". 二.亚圣孟子