谷歌工程師NeelMehta是如何發(fā)現(xiàn)心臟滴血漏洞的
Heartbleed計算機安全漏洞是由谷歌工程師NeelMehta發(fā)現(xiàn)的,一向不愿意接受媒體采訪的他,今日首次向媒體說出了他是怎樣發(fā)現(xiàn)這一嚴重漏洞的;以及為什么會去第一時間去查找這一漏洞,并且他預言將有一些類似的東西會繼續(xù)上演。
繼4月7日公開披露Heartbleed的大約半年后,與澳大利亞IT安全博客博主Risky.biz的對話中,Neel Mehta說道他是在運行“laborious”源代碼復查開源軟件——OpenSSL之后發(fā)現(xiàn)的這一漏洞。
源代碼是一種計算機代碼,它能使相關的軟件運行;而開源代碼是一種軟件,它是由志愿者免費提供的,通常還能被重新分配和修改。
“我過去一直是用Secure Sockets Layer一行一行的編輯OpenSSL,”Mehta說,另外,到目前為止他還沒有說出關于它的任何信息,因為這會讓他感覺到不安。
SSL是一個對網(wǎng)站和用戶之間流量進行加密的加密協(xié)議。他發(fā)現(xiàn)的這一漏洞使得他和其他的潛在黑客可以提取那些使用了OpenSSL服務器的網(wǎng)絡用戶的個人信息。
Mehta說他去調(diào)查SSL協(xié)議的最主要原因是因為在年初的時候他發(fā)現(xiàn)了一些其他的協(xié)議漏洞,例如,二月份發(fā)現(xiàn)的GoToFail安全漏洞和三月份發(fā)現(xiàn)的GnuTLS漏洞。
出乎他意料的是,他沒有想到這一漏洞對主流媒體造成了如此巨大的反響,但是與此同時,一個安全公司也發(fā)現(xiàn)了這一安全漏洞。
他還說他相比較于其他人的夸張說法,他對Heartbleed造成了怎樣的嚴重后果一點也不熱心,并且Bloomberg對此發(fā)出質(zhì)疑,表示在他之前就有間諜已經(jīng)發(fā)現(xiàn)了這一漏洞并且進行了一些不可告人的行為。
Mehta說新的漏洞在不斷的上演,Shellshock比Heartbleed更為嚴重。該漏洞是由開源軟件開發(fā)者Stephane Chazelas發(fā)現(xiàn)的。但他很疑惑為什么Heartbleed會發(fā)現(xiàn)的那么晚,因為在發(fā)現(xiàn)之前它已經(jīng)存在兩年多了,也可能是因為加密軟件的原因吧。在過去的一年內(nèi)加密變得越來越重要,因為受前美國國家安全局員工Edward Snowden揭露了一些秘密文件的影響。
Shellshock和Heartbleed之所以那么嚴重是因為這些漏洞存在于Bash 和OpenSSL軟件之中。他還懷疑過其他的軟件——粘附性的軟件,這些軟件上可能有一些存在多年但又沒被發(fā)現(xiàn)的漏洞。他提名的Zlib,是一個包含了很多軟件的壓縮庫,libjpeg是一個使用C庫進行讀取和寫入JPEG圖像的文件,它也可能含有潛在的漏洞。
