幕后大起底：OpenSSL“Heartbleed”漏洞消息发布前的惊魂72小时

从芬兰到硅谷，有一支小规模的漏洞猎手团队发现了互联网历史上最为严重的网络安全漏洞，并为之积极准备着。最近Heartbleed这个词可谓是家喻户晓，这个安全漏洞引起了几乎每个网民的担心。但其实 David Chartier 早在一周前，当所有人还蒙在鼓里的时候，就已经知道它的存在了。周五一大早，Codenomicon 安全公司的 CEO Chartier 接到了一个从芬兰打来的电话，那时他才刚刚到达在硅谷的办公室。在那个平常的不能再平常的阴霾天，Chartier 同往常一样接起了电话，另一头是公司的首席网络安全工程师，他所在的网络安全队伍在全世界最大的开源加密服务 OpenSSL 中找到了一个严重漏洞。最为可怕的是，这个用于保护用户个人隐私的 OpenSSL 被几乎所有的主流网站所采用，包括 Google 和 Facebook。Chartier 明白，事情非同小可，但在那个瞬间，他也不太清楚接下来会发生什么。创立于 2001 年的 Codenomicon 是由一群芬兰 IT 专家建立的国际网络安全研究所，它在全世界六个国家都有自己的办公室。这群专家其实各个都是赏金漏洞猎人，而 Codenomicon 的工程师的日常工作，或者说最擅长的工作，就是为软件检查漏洞，再写出修复补丁。Verizon，微软还有 Adobe 都是他们的客户。作为公司 CEO 的 Chartier 已经有 20 多年的相关工作经验了，见识过的漏洞也不胜计数。但这次不一样。就算是著名的计算机安全研究员 Bruce Schneier 后来也把这个漏洞视为“灾难性”的安全事故，影响了几乎所有网民——“如果评级是 1 到 10，这次达到了 11 级。” 他写道。在挂电话之前，Chartier 让其中一个芬兰工程师马上写一串漏洞检测代码去攻击自己的网站。这样一来他就可以了解到，如果黑客真的发现漏洞，会对网站造成多么严重的损失。凭过去的经验，Chartier 判断接下来的 24 小时会非常关键，而最重要的就是做好保密——Chartier 用自己公司内部的加密通信设备，通知他的芬兰工程师团队把修复补丁写出来。“我们把它视作最高机密，谁也不能泄密，我们甚至还检查了自己有没有被监听。”
Chartier 一个人在硅谷指导着远在芬兰的团队。“那些报道一点都不夸张，成千上万的网络服务器都在使用OpenSSL，太多人受牵连了。” David Chartier 说。首先要做的就是把漏洞上报到芬兰国家网络安全中心（Finnish National Security Cyber Center）——芬兰的“CERT（计算机紧急响应小组）” 。漏洞是在广泛部署的 OpenSSL 加密服务中发现的，所以周六早上，CERT 就集合了由全球共 12 个志愿开发人员组成 OpenSSL 项目小组。CERT 指挥他们开始更新自己的系统，并尽快备好补丁，以面向公众发布。发现 Heartbleed 的团队（从右到左）: Ossi Salmi, Ville Alatalo, Tuomo Untinen, Antti Karjalainen 和 Ossi HerralaChartier 并不知道，在 Google 里的一位鲜为人知的安全专家 Neel Mehta 也在同一天发现并同时报告了 OpenSSL 的漏洞。有趣的是，这个漏洞其实早在 2012 年 3 月就有了，这两个完全不相干的团队同时发现并上报，多少有些蹊跷。（Mehta 不愿就这篇文章接受采访）不管怎样，Chartier 和他的团队必须尽力。他明白，要是由 OpenSSL 小组自己来公布这个漏洞报告，所含信息很可能不多，用户也不太清楚要怎么应对。于是，他决定就这个安全漏洞准备一场宣传活动，把信息充分地传出去。“漏洞报告更新天天都有，已是家常便饭，” Chartier 说，“你作为 IT 经理，怎么样能够判断哪些是重要的而哪些不是呢？所以我们为报告取了名，还准备了一些 Q&A，为的就是让人们明确知道这是这么多年来最为严重的一个漏洞。”一直到周五的晚上，这个漏洞还一直被标识为“CVE-2014-0160“。周六早晨，在芬兰首都赫尔辛基办公室工作的 Codenomicon 系统管理员 Ossi Herrala 想到了这个名字：Heartbleed。“OpenSSL 上有一个扩展叫做 Hearbeat，”Chatier 解释说：“Ossi 觉得 Heartbleed 很贴切，因为内存里用户的重要信息像血一样流了出来。”Marko Laaso 也是 Codenomicon 的员工，在周六一大早他就注册了 Heartbleed.com 这个域名。而在 2008 年，Heartbleed.com 则是一个给忧郁症患儿分享歌词和链接的网站。整个团队非常高效。设计师开始设计 Logo——一颗正在流血的心。当网站注册成功，Logo 也确定之后，市场部就着手准备网站上的 Q&A 内容了。周日的时候，Codenomicon 的员工们用加密通讯工具交流，而 Chartier 继续监测网络，他要确保这个漏洞的消息没有被泄露出去。到了当天晚上，所有的营销材料准备就绪，整个团队也紧张的等待着，等着在 OpenSSL 发布补丁的第一时间上线 Heartbleed.com。“在补丁发布前，我们不可能先把消息发布出去，这只会引起恐慌，因为在补丁出来前，用户根本不明白要怎么保护自己。那样做这也违背了我们本意。”Chartier 说。最终到了周一下午，Heartbleed.com 终于上线，人们一下子涌了进来，媒体也纷纷跟进报道。基本上所有主流媒体，从 CNN 到华盛顿邮报再到纽约客，都报道了 OpenSSL 漏洞的事。截止到周三下午，算起来连 48 小时都不到，网站就有 140 万不同的独立访问，现在则接近 200 万。Heartbleed.com 能起到这么大的作用，Chartier 备感欣慰。“保障网络安全就是我们的使命，” Chartier 提到。“IT 安全社区也尽全力打了一场胜仗，这份功劳属于整个 IT 安全社区。”Heartbleed 的详细介绍：请点这里
Heartbleed 的下载地址：请点这里相关阅读：OpenSSL TLS心跳读远程信息泄露漏洞（CVE-2014-0160） http://www.linuxidc.com/Linux/2014-04/99741.htmOpenSSL严重bug允许攻击者读取64k内存，Debian半小时修复 http://www.linuxidc.com/Linux/2014-04/99737.htmOpenSSL “heartbleed” 的安全漏洞 http://www.linuxidc.com/Linux/2014-04/99706.htm通过OpenSSL提供FTP+SSL/TLS认证功能，并实现安全数据传输 http://www.linuxidc.com/Linux/2013-05/84986.htmWordPress多个漏洞TIBCO Spotfire多个产品远程代码执行漏洞相关资讯 Heartbleed漏洞 Heartbleed

VENOM：比 Heartbleed 还危险的虚（05/14/2015 18:39:42）
OpenSSL承诺出问题时提前通知开发（09/11/2014 17:07:54）
仍有超过30万台服务器没有修复（06/23/2014 06:47:33）

Google工程师Neel Mehta如何发现（10/12/2014 19:32:07）
揭开Heartbleed神话网络安全从容（09/02/2014 05:44:11）
新的OpenSSL分支未包含Heartbleed （06/09/2014 16:26:44）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容