沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

还有多少潜在的“心脏滴血”等待爆发?

        编者按:一份针对开放源程序库的调查报告显示,许多企业的科技产品中都含有类似于心脏滴血的漏洞。IBM、谷歌、苹果、索尼……产品数量级可达10亿。

        今年四月份爆发的“心脏滴血”漏洞让整个互联网安全界为之颤抖,它的那独特的滴血标志也成为各大媒体争相报道的关注对象。但该漏洞爆发两个月之后,互联网上成上千上万包含此漏洞服务器的打补丁工作似乎开始停止,在网上留下超过30万台尚未得到修补的机器。漏洞载体开源项目软件OpenSSL仍然表示缺乏足够的资源来保证代码安全,更为甚者,最新的研究显示,造成心脏滴血大范围传播的环境很普通。

        开放安全基金与安全公司Synack最近在黑帽大会上联合公布了一份调查报告,主要内容针对开放源程序库的安全和使用。该报告标出了几个极为广泛使用的开放源程序库,均含有方方面面的安全问题,其中一个程序库中的漏洞可以与心脏滴血产生类似的影响。这也就意味着,类似心脏滴血的事件极有可能通过第三方的源程序库再次发生。而且,调查还发现了OpenSSL中的其他几个漏洞,有些漏洞的危险性可能还要大于心脏滴血。

        尽管心脏滴血漏洞被宣扬的天下皆知,但OpenSSL仍然没有足够的钱去解决这些问题。漏洞爆出后,该项目组曾实施了一次评估,结果是大约需要6倍的全职开发人员才能保持该程序的安全运行。IBM、惠普、谷歌及其他的科技大公司承诺的支持资金只够雇用两个全职开发人员。

        另一个含有潜在问题的源程序库是字体显示程序FreeType,包括苹果、谷歌和索尼等公司生产的超过台10亿设备,都使用FreeType。而FreeType在七年的时间里已经被发现超过50个漏洞。其中一个漏洞是远程控制iPhone手机的攻击得以实现的基础。

        其他一些存在问题的开放源程序还包括显示图片的LibPNG和显示视频的FFMpeg,后者被苹果、谷歌、微软和索尼用来播放视频。

        虽然大多数广泛使用的源程序库每年都会经过多次安全更新,可对于软件工程师来说,保持对所有源程序及其不同版本不同使用方的更新并不容易。而且很少有公司能够及时做到对所有使用源程序库的更新,最常见的是只在发布新产品时才会去更新这些源程序库。但这样做的后果是,很有可能错过一些重大漏洞的补丁。

        有些专家认为软件公司应该为其开发的软件漏洞负有法律上的义务。黑帽大会上一些高管就讨论了这个问题,关于投资方是否有权力要求第三方对公司的程序代码进行审计,并将此作为企业合并和收购工作的标准程序。

        美国中央情报局投资成立的研究机构In-Q-Tel则在这个问题上走得更远,其信息安全官丹·基尔在黑帽大会上公开呼吁,立法来令软件公司对其产品产生的安全问题负法律责任。

yYvqY3
        基尔的提议遭到软件行业和强烈反对,可行性很小。更为实际的做法是,提升第三方源程序库开发人员的风险意识,并建立起易于发出最新漏洞和相关补丁通知的手段。

        “风险无法消除,所以我们必须给予控制!” 安全公司Synac生态系统战略主管Kymberlee Price如是说。

发表评论