心臟出血漏洞的加密漏洞可能是人們記憶中最嚴(yán)重的網(wǎng)絡(luò)安全漏洞，影響著數(shù)億人。Heartbleed漏洞可以在OpenSSL(一個(gè)用于安全套接字層(SSL)的開源加密庫(kù))中找到，該庫(kù)已被廣泛部署在世界各地的Linux服務(wù)器和互聯(lián)網(wǎng)基礎(chǔ)設(shè)施上。

在圍繞Heartbleed的媒體馬戲中，可能沒(méi)有很好理解的是如何從一開始就包裝和粘貼這個(gè)關(guān)鍵的安全問(wèn)題。不幸的是，這也是一個(gè)漏洞，因?yàn)樗呐读鞒滩⒉煌晟?，這只會(huì)給安全風(fēng)險(xiǎn)增加更多的動(dòng)力和擔(dān)憂。

4月7日，原OpenSSL會(huì)診首次發(fā)布，沒(méi)有提到缺陷為“心臟出血洞”，而是在OpenSSL中創(chuàng)建“心跳”的缺陷。心跳是指OpenSSL中函數(shù)提供的技術(shù)監(jiān)控功能。

Codenomicon是一家安全研究公司，由Heartbleed這個(gè)名字和一個(gè)精心設(shè)計(jì)的標(biāo)志(在眾多媒體報(bào)道中被反復(fù)使用)創(chuàng)立。Codenomicon與谷歌安全研究人員一起，獲得了首次發(fā)現(xiàn)Heartbleed漏洞的榮譽(yù)。

Heartbleed圖標(biāo)由公司首席營(yíng)銷官Codenomicon設(shè)計(jì)師Hope Frank在內(nèi)部創(chuàng)建。Codenomicon還于4月5日注冊(cè)了heartbleed.com域名，該域名已成為傳播安全問(wèn)題信息的關(guān)鍵資源。

弗蘭克說(shuō)：“我們的意圖不是銷售產(chǎn)品，而是提供信息、教育和建議?！薄斑@就是為什么我們決定發(fā)布內(nèi)部Heartbleed內(nèi)容并創(chuàng)建一個(gè)網(wǎng)站。該域恰好可用。

弗蘭克說(shuō)，Codenomicon希望利用其發(fā)現(xiàn)來(lái)快速教育那些需要信息的人，并補(bǔ)充說(shuō)，這些信息是在OpenSSL.org發(fā)現(xiàn)漏洞后發(fā)布的。

披露程序

Heartbleed漏洞背后的整個(gè)披露過(guò)程也是許多評(píng)論和關(guān)注的主題。一般來(lái)說(shuō)，在開源安全披露方案中，有一些基于NDA的信息形式，這些信息將在供應(yīng)商安全社區(qū)的封閉列表中公布?？偟南敕ㄊ?，通過(guò)共同努力，多個(gè)供應(yīng)商和服務(wù)可以在公眾咨詢期間準(zhǔn)備好發(fā)布補(bǔ)丁。

心痛，這不是真的。

而谷歌的云安全提供商CloudFlare是一個(gè)非常小的群體，他們可以通過(guò)某種方式盡早獲得這個(gè)漏洞，并在4月7日公開咨詢OpenSSL之前修復(fù)它。

CloudFlare首席執(zhí)行官馬修普林斯告訴eWEEK，事實(shí)上，上周初，參與發(fā)現(xiàn)該漏洞的研究人員通知了他的公司。

然而，其他提供商和網(wǎng)絡(luò)服務(wù)(包括云提供商)顯然沒(méi)有得到同樣的信息。云服務(wù)提供商DigitalOcean是4月7日爭(zhēng)奪服務(wù)器補(bǔ)丁的公司之一。

DigitalOcean的首席技術(shù)推廣人約翰埃德加告訴eWEEK:“我們認(rèn)為這是現(xiàn)代互聯(lián)網(wǎng)中發(fā)現(xiàn)的最嚴(yán)重的漏洞之一，我認(rèn)為整個(gè)披露是絕對(duì)殘酷的?！?

Edgar表示，雖然敏感的安全泄露很難處理，但可以做出更多努力，傳播范圍可以擴(kuò)大到包括和保護(hù)互聯(lián)網(wǎng)服務(wù)。

埃德加說(shuō)：“在我看來(lái)，這家芬蘭安全公司(Codenomicon)確實(shí)以安全的名義扮演了Heartbleed作為營(yíng)銷和公關(guān)公司的角色?！斑@是一種恥辱，可能會(huì)鼓勵(lì)其他人也這樣做。”

對(duì)于如何處理披露流程，Codenomicon有不同的看法。Codenomicon首席研究官Ari Takanen告訴eWEEK，他的團(tuán)隊(duì)發(fā)現(xiàn)了Heartbleed錯(cuò)誤，并改進(jìn)了Codenomicon Defensics安全測(cè)試工具中的ServiCe功能。他說(shuō)，Codenomicon的Defensics安全測(cè)試工具的SafetY功能將自動(dòng)測(cè)試目標(biāo)系統(tǒng)是否存在損害完整性、隱私性或安全性的弱點(diǎn)。

一旦Codenomicon發(fā)現(xiàn)Heartbleed錯(cuò)誤，它將報(bào)告給芬蘭國(guó)家網(wǎng)絡(luò)安全中心(NCSC-FI)進(jìn)行漏洞協(xié)調(diào)，并報(bào)告給OpenSSL團(tuán)隊(duì)。

塔卡寧說(shuō)：“在發(fā)現(xiàn)后的幾個(gè)小時(shí)內(nèi)，我們聯(lián)系了NCSC-FI進(jìn)行漏洞協(xié)調(diào)。”“我們已經(jīng)編寫了一個(gè)問(wèn)答集，以支持在聯(lián)系供應(yīng)商和服務(wù)提供商時(shí)進(jìn)行漏洞協(xié)調(diào)；比預(yù)期的要快得多。其他人已經(jīng)公開了漏洞，我們認(rèn)為問(wèn)答集也可以幫助公眾?！?

數(shù)字海洋的Edgar指出，他知道不可能將整個(gè)互聯(lián)網(wǎng)置于NDA之下，以便提前告知所有相關(guān)方安全問(wèn)題。不過(guò)，埃德加表示，他對(duì)供應(yīng)商和服務(wù)提供商(包括其競(jìng)爭(zhēng)對(duì)手亞馬遜AWS)的所有服務(wù)器管理員感到非常遺憾，他們不得不迅速展開競(jìng)爭(zhēng)，以解決Heartbleed問(wèn)題。

埃德加說(shuō)：“對(duì)于咨詢服務(wù)公布后，每個(gè)不得不匆忙解決問(wèn)題的人，我感到很遺憾。這是重點(diǎn)。在這種情況下，我們不應(yīng)該急于解決問(wèn)題?！边@是不公平的，處理不當(dāng)。"