從芬蘭到硅谷,有一支小規(guī)模的漏洞獵手團(tuán)隊(duì)發(fā)現(xiàn)了互聯(lián)網(wǎng)歷史上最為嚴(yán)重的網(wǎng)絡(luò)安全漏洞,并為之積極準(zhǔn)備著。
最近Heartbleed這個詞可謂是家喻戶曉,這個安全漏洞引起了幾乎每個網(wǎng)民的擔(dān)心。但其實(shí) David Chartier 早在一周前,當(dāng)所有人還蒙在鼓里的時候,就已經(jīng)知道它的存在了。
周五一大早,Codenomicon 安全公司的 CEO Chartier 接到了一個從芬蘭打來的電話,那時他才剛剛到達(dá)在硅谷的辦公室。在那個平常的不能再平常的陰霾天,Chartier 同往常一樣接起了電話,另一頭是公司的首席網(wǎng)絡(luò)安全工程師,他所在的網(wǎng)絡(luò)安全隊(duì)伍在全世界最大的開源加密服務(wù) OpenSSL 中找到了一個嚴(yán)重漏洞。最為可怕的是,這個用于保護(hù)用戶個人隱私的 OpenSSL 被幾乎所有的主流網(wǎng)站所采用,包括 Google 和 Facebook。
Chartier 明白,事情非同小可,但在那個瞬間,他也不太清楚接下來會發(fā)生什么。
創(chuàng)立于 2001 年的 Codenomicon 是由一群芬蘭 IT 專家建立的國際網(wǎng)絡(luò)安全研究所,它在全世界六個國家都有自己的辦公室。這群專家其實(shí)各個都是賞金漏洞獵人,而 Codenomicon 的工程師的日常工作,或者說最擅長的工作,就是為軟件檢查漏洞,再寫出修復(fù)補(bǔ)丁。Verizon,微軟還有 Adobe 都是他們的客戶。
作為公司 CEO 的 Chartier 已經(jīng)有 20 多年的相關(guān)工作經(jīng)驗(yàn)了,見識過的漏洞也不勝計數(shù)。但這次不一樣。就算是著名的計算機(jī)安全研究員 Bruce Schneier 后來也把這個漏洞視為“災(zāi)難性”的安全事故,影響了幾乎所有網(wǎng)民——“如果評級是 1 到 10,這次達(dá)到了 11 級。” 他寫道。
在掛電話之前,Chartier 讓其中一個芬蘭工程師馬上寫一串漏洞檢測代碼去攻擊自己的網(wǎng)站。這樣一來他就可以了解到,如果黑客真的發(fā)現(xiàn)漏洞,會對網(wǎng)站造成多么嚴(yán)重的損失。
憑過去的經(jīng)驗(yàn),Chartier 判斷接下來的 24 小時會非常關(guān)鍵,而最重要的就是做好保密——Chartier 用自己公司內(nèi)部的加密通信設(shè)備,通知他的芬蘭工程師團(tuán)隊(duì)把修復(fù)補(bǔ)丁寫出來。
“我們把它視作最高機(jī)密,誰也不能泄密,我們甚至還檢查了自己有沒有被監(jiān)聽。”
Chartier 一個人在硅谷指導(dǎo)著遠(yuǎn)在芬蘭的團(tuán)隊(duì)。
“那些報道一點(diǎn)都不夸張,成千上萬的網(wǎng)絡(luò)服務(wù)器都在使用OpenSSL,太多人受牽連了。” David Chartier 說。
首先要做的就是把漏洞上報到芬蘭國家網(wǎng)絡(luò)安全中心,也就是業(yè)內(nèi)人士熟知的“CERT(計算機(jī)緊急響應(yīng)小組)” 。漏洞是在廣泛部署的 OpenSSL 加密服務(wù)中發(fā)現(xiàn)的,所以周六早上,CERT 就集合了由全球共 12 個志愿開發(fā)人員組成 OpenSSL 項(xiàng)目小組。CERT 指揮他們開始更新自己的系統(tǒng),并盡快備好補(bǔ)丁,以面向公眾發(fā)布。
Chartier 并不知道,在 Google 里的一位鮮為人知的安全專家 Neel Mehta 也在同一天發(fā)現(xiàn)并同時報告了 OpenSSL 的漏洞。有趣的是,這個漏洞其實(shí)早在 2012 年 3 月就有了,這兩個完全不相干的團(tuán)隊(duì)同時發(fā)現(xiàn)并上報,多少有些蹊蹺。(Mehta 不愿就這篇文章接受采訪)
不管怎樣,Chartier 和他的團(tuán)隊(duì)必須盡力。他明白,要是由 OpenSSL 小組自己來公布這個漏洞報告,所含信息很可能不多,用戶也不太清楚要怎么應(yīng)對。于是,他決定就這個安全漏洞準(zhǔn)備一場宣傳活動,把信息充分地傳出去。
“漏洞報告更新天天都有,已是家常便飯,” Chartier 說,“你作為 IT 經(jīng)理,怎么樣能夠判斷哪些是重要的而哪些不是呢?所以我們?yōu)閳蟾嫒×嗣€準(zhǔn)備了一些 Q&A,為的就是讓人們明確知道這是這么多年來最為嚴(yán)重的一個漏洞。”
一直到周五的晚上,這個漏洞還一直被標(biāo)識為“CVE-2014-0160“。周六早晨,在芬蘭首都赫爾辛基辦公室工作的 Codenomicon 系統(tǒng)管理員 Ossi Herrala 想到了這個名字:Heartbleed。
“OpenSSL 上有一個擴(kuò)展叫做 Hearbeat,”Chatier 解釋說:“Ossi 覺得 Heartbleed 很貼切,因?yàn)閮?nèi)存里用戶的重要信息像血一樣流了出來。”
Marko Laaso 也是 Codenomicon 的員工,在周六一大早他就注冊了 Heartbleed.com 這個域名。而在 2008 年,Heartbleed.com 則是一個給憂郁癥患兒分享歌詞和鏈接的網(wǎng)站。
整個團(tuán)隊(duì)非常高效。設(shè)計師開始設(shè)計 Logo——一顆正在流血的心。當(dāng)網(wǎng)站注冊成功,Logo 也確定之后,市場部就著手準(zhǔn)備網(wǎng)站上的 Q&A 內(nèi)容了。
周日的時候,Codenomicon 的員工們用加密通訊工具交流,而 Chartier 繼續(xù)監(jiān)測網(wǎng)絡(luò),他要確保這個漏洞的消息沒有被泄露出去。到了當(dāng)天晚上,所有的營銷材料準(zhǔn)備就緒,整個團(tuán)隊(duì)也緊張的等待著,等著在 OpenSSL 發(fā)布補(bǔ)丁的第一時間上線 Heartbleed.com。
“在補(bǔ)丁發(fā)布前,我們不可能先把消息發(fā)布出去,這只會引起恐慌,因?yàn)樵谘a(bǔ)丁出來前,用戶根本不明白要怎么保護(hù)自己。那樣做這也違背了我們本意。”Chartier 說。
最終到了周一下午,Heartbleed.com 終于上線,人們一下子涌了進(jìn)來,媒體也紛紛跟進(jìn)報道。基本上所有主流媒體,從 CNN 到 華盛頓郵報 再到紐約客,都報道了 OpenSSL 漏洞的事。截止到周三下午,算起來連 48 小時都不到,網(wǎng)站就有 140 萬不同的獨(dú)立訪問,現(xiàn)在則接近 200 萬。Heartbleed.com 能起到這么大的作用,Chartier 備感欣慰。
“保障網(wǎng)絡(luò)安全就是我們的使命,” Chartier 提到。“IT 安全社區(qū)也盡全力打了一場勝仗,這份功勞屬于整個 IT 安全社區(qū)。”
京公網(wǎng)安備 11010502049343號