德国《明镜》周刊网站4月10日报道称,目前尚不清楚哪些服务器上的哪些数据因这一漏洞被窃取,而且很可能永远不会知道。
每个安全漏洞都有自己的源头和一名始作俑者。只是这名肇事者的姓名通常不会被提及。比如,如果微软公司的某个软件漏洞被曝光,那么公开表示为此负责的是微软公司,而并非编写了这个错误代码的雇员,也不是审核放行这个错误的人。但“心脏出血”漏洞的情况则不同。一名德国人编写了这个代码,而他的名字已经流传到了网上。
该漏洞涉及OpenSSL软件。这是一款开源软件:软件代码是公开可见并可查找错误的。它的编写者是谁对所有人而言也是可见的——假设你知道到哪里找的话。因此对不少人来说,这场追捕行动是公开的。
这名肇事者的名字最先在“推特”网站上流传开来,个别人在发布相关链接时加上了诸如这样一句话:“我现在可不想成为罗宾·S。”
整件事情真正进入白热化是在黑客费利克斯·冯·莱特纳公开这名肇事者的姓名及其目前所供职的公司之后。莱特纳怀疑,这个编程错误可能是为谋取钱财而故意设下的“后门”。“在我看来,它有‘后门’的气息和味道,具备与‘后门’的一致性,而且看起来也像一个‘后门’。”他在《法兰克福汇报》发表的文章中表达得更为谨慎:“在爆出监控丑闻的时期,这件事很容易让人想到,这会不会是一场由情报机构挑起的破坏行动。”在多数情况下,几乎无法证明一个编程错误是故意造成还是无意为之。
公开受到怀疑的罗宾·S在发给本刊的邮件中讲述了事件的另一个版本:“我参与了OpenSSL的编写工作并提交过一系列补丁和新功能。在一个新功能的补丁程序里,我显然忽略了对一个变量长度的检查。”
简而言之,S将整件事解释为在一小部分编程工作中出现的疏忽,是每个人都可能犯的错误。开源项目中的软件代码在被集成至正式版本前,必须接受检查。但S说,OpenSSL团队中测试这一代码的人并未发现这个错误。
- 评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)
-