讓全球2/3網站“心臟滴血”后,OpenSSL 經歷了什么? 2017-09-27 來源: 卓杰科技(www.08vd.com) 瀏覽:

讓全球2/3網站“心臟滴血”后,OpenSSL 經歷了什么? 下面為大家分享:

如果把 OpenSSL 的 Heartbleed (心臟滴血)漏洞稱為互聯網安全歷史上最嚴重的漏洞之一,想必不會有太多人反對。

SSL(安全套接層)協議是使用最為普遍的網站加密技術,而 OpenSSL 則是開源的 SSL 套件,為全球成千上萬的 web 服務器所使用。這個嚴重漏洞出現后,全球三分之二的網站可被攻擊,這種攻擊還是“敞開了門,可以隨意掠奪信息”的那種。

讓全球2/ 3 網站“心臟滴血”后,OpenSSL 經歷了什么

2014 年 4 月 9 日,該漏洞被曝光后, OpenSSL 背后的團隊才被媒體爭相報道,他們的故事逐漸為人所知。 2015 年,錘子科技羅永浩宣布對 OpenSSL 捐款 200 萬元,某媒體發表一篇以 OpenSSL 為主角的《隱形戰友》后, OpenSSL “火”了。隨之而來的,是另一位知名人士對該文章的反對——《到底誰在捍衛我們的隱私?OpenSSL的真實故事》。

爭論的角度集中在這幾個方面:

1. OpenSSL 真的有這么英雄主義嗎?

2. OpenSSL 真的有這么窮嗎?之前少有人給他們捐款嗎?

3.真實的 OpenSSL到底是什么樣子?

9 月 23 日, OpenSSL 團隊成員參觀白山云科技公司時,OpenSSL創始人之一,美國國防部前顧問 Steve Marquess(也就是《隱形戰友》中的史蒂夫)、OpenSSL前身SSLeay創建者,OpenSSL創始人之一 Tim Hudson 和白山云科技架構師,OpenSSL代碼貢獻榜排名18 的楊洋接受了包括雷鋒網(公眾號:雷鋒網)宅客頻道在內的媒體采訪。

讓全球2/ 3 網站“心臟滴血”后,OpenSSL 經歷了什么

楊洋(左一)、 Tim Hudson(左二)、Steve Marquess(右一)

OpenSSL 的真實故事應該由他們自己來說。

--

“心臟滴血”后 OpenSSL 發生了什么

Steve 一行人此前從沒有來過中國。

這個星期里,Steve  和 OpenSSL 其他 4 名核心成員還陸續參觀了阿里巴巴、百度、騰訊、華為、錘子科技等,最后一站他們來到了好隊友楊洋所在的白山云科技。

華為和錘子科技確實是中國兩家對 OpenSSL 捐款最多的公司,Steve 在白山云科技的這場活動中,先對兩家公司表示了感謝。

“我們收到的來自中國的資助要比其他任何一個國家都多?!盨teve說。

現在 OpenSSL 日子已經過得好多了,相比三年前只有兩個全職員工,他們現在有個 4 名全職員工,其中兩個全職人員這次也來到了中國。

“‘心臟出血’是慘痛的經歷,但是發生這件事情也有好處,這件事情顯示了計算技術和互聯網有多大程度依賴 OpenSSL,很多媒體進行了報道。它的發生是由于嚴重的安全漏洞,OpenSSL 規模那么大、復雜程度那么高、影響面那么大,卻沒有足夠的人力保障它的安全,這是個問題?!盨teve 這樣表述了“心臟滴血”漏洞發生的原因。

雖然,在《到底誰在捍衛我們的隱私?OpenSSL 的真實故事》中,作者這樣寫道:

“OpenSSL 公布‘心臟出血’漏洞的過程也非常有問題。一般出現嚴重漏洞的流程,是先不對公眾公布,立即通知主流操作系統維護者和相關廠商,讓大家先修改,之后一起發布安全公告和升級。之所以這樣做,是因為如果操作系統不去打補丁,很多普通用戶知道漏洞也沒辦法修補,反而讓黑客們更容易利用這些漏洞。OpenSSL 不是這么做的,在 Google 告知了他們漏洞之后,OpenSSL 沒有告知任何一家操作系統廠商,反而奇怪的被幾家主要 CDN 廠商知道了,也就是說,在不知道哪個環節發生了泄密。之后開源社區中開始有關于這個重大 Bug 的傳言,直到這個時候,幾大操作系統仍然沒得到正式通知。又過了 3 天,OpenSSL 才告知了Red Hat……”

在那三天里,OpenSSL 到底發生了什么?

Tim 稱:“據我所知,心臟滴血事件是由兩個團隊互不知情的情況下獨立發現的。我只對我們所作出的反應負責,對其他公司沒辦法負責。當時這個漏洞是非常嚴重的危險級別,我們所采取的措施也是當時認為合理的措施。整個過程中誰做了什么、誰發現了什么漏洞,這都是公開的,可以在我們的網站上查得到?!?

出了這么大的事情,Steve說,對于一個人手有限的團隊來講日子確實不好過。一個看上去本來籍籍無名的團隊瞬間火了,Steve 的好朋友,甚至連他的牙醫都關心地詢問:“最近老在電視上看到你,要不要緊?”

那一段時間,OpenSSL 倍感壓力,收到了很多批評的聲音,他們如履薄冰,擔心未來可能重蹈覆轍,但也收到了一些鼓勵的反饋。讓 Steve 覺得溫暖的是,一些他甚至都沒聽過名字的非洲國家都發來了鼓勵的郵件,以前團隊不太關注的中國也發來了“令人鼓舞的信息”。

“除了擴展到有 4 個全職員工的團隊,一些 OpenSSL 的成員盡管有自己本職工作,但是他們的公司會鼓勵他們做一些 OpenSSL 的工作,這些公司以間接的方式給我們提供了支持。我們還收到數百個中國人以及錘子科技、華為這兩個中國企業給我們的資助,我們收到中國的資助要比其他任何一個國家都多?!?nbsp;Steve 說。

此后則是 OpenSSL 的復蘇。

讓全球2/ 3 網站“心臟滴血”后,OpenSSL 經歷了什么

這個團隊經歷了重建,從系統上還了之前欠下的技術債。這些技術債是指一些之前沒有進行很好的重構與精減的代碼,后來又不斷加入新代碼和功能,OpenSSL 做了梳理和篩減,盡可能讓內部結構變得不透明,他們有了新代碼庫,第一次重要審計也是在這個期間完成。

此前,還有詬病 OpenSSL 團隊管理混亂的聲音, Steve稱,情況得到了改善,現在OpenSSL 有 14 位 “貢獻者”和 10 位管委會成員,其中有 8 名是身兼兩職。

他們現在缺錢嗎

OpenSSL 團隊成員此次來到中國,是楊洋促成的。

讓人難以想象的是,和一個人在線上聊了 15 年,但從來沒有線下見過面是一種怎樣的體驗。在OpenSSL 團隊中,這是十分常見的現象。更讓人難以想象的是,OpenSSL 整個團隊總共在線下見過三次面。

第一次見面發生在 2014 年德國的一次會議后,那是一種奇妙的體驗,十幾個OpenSSL 團隊的成員走進一間會議室,盡管有些人視頻聊天過,但還是見面不相識。

讓全球2/ 3 網站“心臟滴血”后,OpenSSL 經歷了什么

第三次碰面則是這次在中國:屬于幾個老友的相聚。

讓全球2/ 3 網站“心臟滴血”后,OpenSSL 經歷了什么

楊洋在兩三年前與 OpenSSL 團隊相識,那時他還在阿里巴巴,與 OpenSSL 的接觸屬于項目對接,當時他還沒有兼職為 OpenSSL 貢獻代碼。去年底,楊洋加入白山云科技,由于公司允許他異地遠程辦公,并支持他同時為 OpenSSL 貢獻代碼,目前這個在家鄉沈陽工作的小伙子從上午 10 點到下午 6 點為白山云科技工作,從晚上 8 點到凌晨三點為 OpenSSL 處理相關事宜及貢獻開源代碼。目前,根據代碼量和代碼質量排行的 OpenSSL 貢獻榜上,楊洋排名全球 18 位,中國區排名第一位。

這家創業才兩年的白山云科技得知楊洋和 OpenSSL 的淵源后,十分支持他的工作,并將本來是楊洋與OpenSSL 的一次私人聚會變成了一次 OpenSSL 的中國行,全力協助 OpenSSL 團隊的成員與中國著名互聯網公司之間的交流溝通,由于這個團隊沒人懂中文,楊洋還要全程陪同翻譯。

此前,國外也有一些公司支持自己的員工為 OpenSSL 貢獻時間和代碼,但在中國,像楊洋這樣的兼職 OpenSSL 成員并不多,到白山云科技現場支持的還有同為 OpenSSL 安全研究員的 360 CERT&Gear Team 的石磊。

事實上,誠如《到底誰在捍衛我們的隱私?OpenSSL的真實故事》這篇文章所言,并非沒有人和公司捐助 OpenSSL ,捐助 OpenSSL 的方式有幾種:個人或者公司直接捐款給 OpenSSL 的基金會,通過 Linux 基金會捐款給OpenSSL ,公司或個人貢獻開源代碼或者員工時間給 OpenSSL ……

不過情況也并非批評者說得那么樂觀。 Steve 告訴雷鋒網,除了自家基金會,只有 Linux 的基金會目前對 OpenSSL 捐款,捐款的數額沒有傳說中那么大,只負擔這三年來新增的兩位全職人員的全年工資,OpenSSL 尚未得到其他基金會的關注,不過也有一些其他企業和個人的捐款。

“我們主要做一些咨詢的合作,比如幫英特爾這樣的公司。在過去 5 年里面,我估計 1/4 的營收是從商業性的合作中獲得的?!盨teve 說。

Tim 說:“不管是公司還是個人,都有捐獻代碼,我們會進行研究、評估。如果覺得可以的話,我們會加入到軟件鳴謝名單里。也有一些貢獻的形式,有的是代碼,有的是文檔,有的是幫我們找錯誤等,不管是什么,我們都是很歡迎的?!?

三年前,OpenSSL 確實窮到只有“一點點收入”。

Steve稱,OpenSSL 團隊有一個極具才華但是一貧如洗的程序員 Stephen Henson,Stephen窮到什么程度?Steve 說,窮到我知道的時候都震驚了。

Steve 和 Stephen 是相識 15 年卻依然沒有見過面的老友,因為 Stephen 性格獨特,是一個非常害羞的人,從來沒坐過飛機,甚至連護照都沒有。但是, Stephen 卻是Steve  認為在工作上最靠得住的人,他從來沒有在任何一個項目快結束時遲交過代碼。

也因此,Steve 在知道 Stephen 的困境后,Steve 全權幫助 Stephen 承接一些商業項目支撐生活。

此前提到,Steve 是前美國國防部的顧問,擁有良好的聲譽,早期 Stephen 只是一個不出名的程序員,為了能讓 Stephen 順利獲得這些項目,Steve 只能以自己的名義簽下這些項目,讓 Stephen 全程完成。有時,Stephen 一整年的收入都從Steve 這里獲得。在兩人沒有簽訂任何協議下,一個以自己的信譽作擔保,一個完全信任對方幫助自己處理財務上的事情,這種默契維持了很多年。

真實的 OpenSSL

Steve 讀到《隱形戰友》這篇文章的翻譯版時,已經是文章發表的半年后了。對于文章所呈現出的“英雄主義”色彩,Steve 稱,確實夸張了。

讓全球2/ 3 網站“心臟滴血”后,OpenSSL 經歷了什么

有意思的是,當時 Steve  還把文章發給了楊洋,兩人一起討論文章中言過其實的一些細節。

不可否認的是,這篇文章發布后,OpenSSL 收到了一些不錯的反饋,一些來自中國的郵件和捐款找了上來。

雷鋒網編輯沒有問 Steve 等人成立 OpenSSL 的動機。因為他在演講中已經提到,如果要加入 OpenSSL,絕不是因為錢,如果要堅持下來,一定要有過硬的 C 語言編程技能、恒心以及興趣。

“開源的不光是替自己寫代碼,挑戰比較多。我們希望代碼有商業上的意義,有些公司愿意雇傭我們的員工。但有些人如果只著眼于利潤,可能沒有耐心投入正常的時間和資金來做開源。這也是為什么有的開發人員和程序員離開了我們團隊。以我為例,我可以把 OpenSSL 當作興趣來做,我把房子的貸款還清了,女兒畢業了,不欠銀行什么錢,不用擔心自己餓肚子,因此花了大量時間在 OpenSSL 的工作上。我甚至通過做一些 OpenSSL 相關的咨詢賺到了錢,現在有很多公司都會涉及到 OpenSSL,所以需要這方面的咨詢?!盨teve 說。

楊洋則稱,自己做這件事情“just for fun”,就跟大家喜歡聽音樂、看電影一樣。

關于 OpenSSL 和 Steve ,事實上也有一些傳聞和誤解。

Steve 稱,他的工作是一個自由職業咨詢顧問,所做的事情就是服務各行各業的客戶,從一個項目到另外一個項目,做了 40 多年。此前,還有傳言稱他要接觸軍火交易。事實上,他本人并沒有進行過軍火交易,比如槍、導彈。之所以有這種傳聞,是因為此前美國政府有一個規定,密碼或者加密系統被視為武器,所以與軍方有過一次合作項目的 Steve 必須申請武器方面的從業執照。

Steve 加入OpenSSL 時,這還是一個默默無聞的組織,他澄清,自己并沒有那么強烈的英雄主義情結,這個默默無聞的組織起初也并未讓他獲得所謂“英雄”的感覺。但在“心臟滴血”事件后,加入 OpenSSL 才可能會有這個效應。

OpenSSL 可能只有一些小小的心愿。

“項目背后的動機是什么?它是一個開源的項目,我們也很樂意看到 OpenSSL 應用廣泛,也希望它的應用繼續擴大下去,能夠造福所有的用戶。我們不確定的是哪一些特性是為人所樂見的,有的公司有特定的需求,但如果它們不告訴我們,我們沒辦法拿到這方面的信息。有時我們會做一些調整, 最后被證明對 OpenSSL 社區是有益的。此外,我們會不斷對補丁進行維護,隨著版本發布進行更新,讓用戶受益。因此,大家覺得有必要出于自己目的來修改 OpenSSL 的話,也許我們也能夠聽到大家的聲音,即使微小調整也許會適應龐大的需求?!盨teve 說。

在線咨詢

020-89202380

国产在线亚洲欧美手机