摘要: 從芬蘭到矽谷,有一支小規模的漏洞獵手團隊發現了互聯歷史上最為嚴重的網路安全性漏洞,並為之積極準備著。 最近Heartbleed這個詞可謂是家喻戶曉,這個安全性漏洞引起了幾乎每個線民
從芬蘭到矽谷,有一支小規模的漏洞獵手團隊發現了互聯歷史上最為嚴重的網路安全性漏洞,並為之積極準備著。
最近Heartbleed這個詞可謂是家喻戶曉,這個安全性漏洞引起了幾乎每個線民的擔心。 但其實David Chartier 早在一周前,當所有人還蒙在鼓裡的時候,就已經知道它的存在了。
週五一大早,Codenomicon安全公司的CEO Chartier 接到了一個從芬蘭打來的電話,那時他才剛剛到達在矽谷的辦公室。 在那個平常的不能再平常的陰霾天,Chartier 同往常一樣接起了電話,另一頭是公司的首席網路安全工程師,他所在的網路安全隊伍在全世界最大的開源加密服務OpenSSL中找到了一個嚴重漏洞。 最為可怕的是,這個用於保護使用者個人隱私的OpenSSL被幾乎所有的主流網站所採用,包括Google和Facebook。
Chartier明白,事情非同小可,但在那個瞬間,他也不太清楚接下來會發生什麼。
創立于2001年的Codenomicon是由一群芬蘭IT專家建立的國際網路安全研究所,它在全世界六個國家都有自己的辦公室。 這群專家其實各個都是賞金漏洞獵人,而Codenomicon的工程師的日常工作,或者說最擅長的工作,就是為軟體檢查漏洞,再寫出修復補丁。 Verizon,微軟還有Adobe都是他們的客戶。
作為公司CEO的Chartier 已經有20多年的相關工作經驗了,見識過的漏洞也不勝計數。 但這次不一樣。 就算是著名的電腦安全性研究員Bruce Schneier 後來也把這個漏洞視為「災難性」的安全事故,影響了幾乎所有線民——「如果評級是1到10,這次達到了11級。 」 他寫道。
在掛電話之前,Chartier 讓其中一個芬蘭工程師馬上寫一串漏洞檢測代碼去攻擊自己的網站。 這樣一來他就可以瞭解到,如果駭客真的發現漏洞,會對網站造成多麼嚴重的損失。
憑過去的經驗,Chartier 判斷接下來的24小時會非常關鍵,而最重要的就是做好保密——Chartier 用自己公司內部的加密通信設備,通知他的芬蘭工程師團隊把修復補丁寫出來。
「我們把它視作最高機密,誰也不能洩密,我們甚至還檢查了自己有沒有被監聽。 」
Chartier一個人在矽谷指導著遠在芬蘭的團隊。
「那些報導一點都不誇張,成千上萬的網路伺服器都在使用OpenSSL,太多人受牽連了。 」 David Chartier 說。
首先要做的就是把漏洞上報到芬蘭國家網路安全中心,也就是業內人士熟知的「CERT(電腦緊急回應小組)」 。 漏洞是在廣泛部署的OpenSSL加密服務中發現的,所以週六早上,CERT就集合了由全球共12個志願開發人員組成OpenSSL 專案小組。 CERT指揮他們開始更新自己的系統,並儘快備好補丁,以面向公眾發佈。
Chartier 並不知道,在Google裡的一位鮮為人知的安全專家Neel Mehta 也在同一天發現並同時報告了OpenSSL 的漏洞。 有趣的是,這個漏洞其實早在2012年3月就有了,這兩個完全不相干的團隊同時發現並上報,多少有些蹊蹺。 (Mehta不願就這篇文章接受採訪)
不管怎樣,Chartier 和他的團隊必須盡力。 他明白,要是由OpenSSL 小組自己來公佈這個漏洞報告,所含資訊很可能不多,使用者也不太清楚要怎麼應對。 於是,他決定就這個安全性漏洞準備一場宣傳活動,把資訊充分地傳出去。
「漏洞報告更新天天都有,已是家常便飯,」 Chartier說,「你作為IT經理,怎麼樣能夠判斷哪些是重要的而哪些不是呢? 所以我們為報告取了名,還準備了一些Q&A,為的就是讓人們明確知道這是這麼多年來最為嚴重的一個漏洞。 」
一直到週五的晚上,這個漏洞還一直被標識為「CVE-2014-0160「。 週六早晨,在芬蘭首都赫爾辛基辦公室工作的Codenomicon 系統管理員Ossi Herrala 想到了這個名字:Heartbleed。
「OpenSSL上有一個擴展叫做Hearbeat,」Chatier 解釋說:「Ossi覺得Heartbleed 很貼切,因為記憶體裡使用者的重要資訊像血一樣流了出來。 」
Marko Laaso也是Codenomicon的員工,在週六一大早他就註冊了 Heartbleed.com這個功能變數名稱。 而在2008年,Heartbleed.com 則是一個給憂鬱症患兒分享歌詞和連結的網站。
整個團隊非常高效。 設計師開始設計Logo——一顆正在流血的心。 當網站註冊成功,Logo也確定之後,市場部就著手準備網站上的Q&A內容了。
周日的時候,Codenomicon的員工們用加密通訊工具交流,而Chartier繼續監測網路,他要確保這個漏洞的消息沒有被洩露出去。 到了當天晚上,所有的行銷材料準備就緒,整個團隊也緊張的等待著,等著在OpenSSL發佈補丁的第一時間上線Heartbleed.com。
「在補丁發佈前,我們不可能先把消息發佈出去,這只會引起恐慌,因為在補丁出來前,使用者根本不明白要怎麼保護自己。 那樣做這也違背了我們本意。 」Chartier說。
最終到了週一下午,Heartbleed.com 終於上線,人們一下子湧了進來,媒體也紛紛跟進報導。 基本上所有主流媒體,從CNN 到 華盛頓郵報 再到紐約客,都報導了OpenSSL漏洞的事。 截止到週三下午,算起來連48小時都不到,網站就有140萬不同的獨立訪問,現在則接近200萬。 Heartbleed.com 能起到這麼大的作用,Chartier備感欣慰。
「保障網路安全就是我們的使命,」 Chartier 提到。 「IT安全社區也盡全力打了一場勝仗,這份功勞屬於整個IT安全社區。 」