7日爆出的OpenSSL重要資安漏洞「Heartbleed」目前已被修補,但美國政府呼籲各家企業及金融機構提升系統安全,思科(Cisco)與IBM等諸家科技公司也已警告客戶潛在風險。一名德國程式設計師則在個人網誌中坦承當年疏忽,導致Heartbleed產生,他也希望未來有更多程式設計師自願加入OpenSSL的開源碼社群協助維護與發展。
美政府與科技公司提出資安警告
美國國土安全部(DHS)要求任何因Heartbleed漏洞受到攻擊的組織回報災情,雖然目前還沒有傳出因Heartbleed而受駭的消息,但國土安全部網路安全與通信整合中心主任澤爾文(Larry Zelvin)強調,惡意攻擊的可能性仍然存在。
過去一周來,科技公司致力搜索OpenSSL程式碼中可能的資安缺陷,並提出數版更新,但工作仍在持續中。思科、IBM、英特爾(Intel)、甲骨文(Oracle)與瞻博(Juniper Networks)等跨國科技公司也對客戶提出資安風險警告。
OpenSSL廣泛用於網路數位加密,美國聯邦金融機構檢查委員會呼籲所有金融機構應假設其加密功能已不能完整保障交易密碼等機密資料,並在補強系統安全後主動建議客戶更改密碼。
德工程師承認失誤
德國程式設計師西格曼(Robin Seggelmann)則於11日在網誌上聲明自己的失誤絕非蓄意。現任職於德國電信公司的西格曼,多年以義工身分前加入明斯特大學的研究計畫,但不小心漏查了一個特定的變數,導致Heartbleed的產生。
西格曼表示,當時負責審核的程式設計師也沒有注意到這個問題,而「如今已經無法確定是否有任何組織透過這個漏洞竊取資訊。」他也指出,OpenSLL是開放資源,有賴各方人馬義務投入維護工作。「雖然使用者眾,但真正投入發展的程式設計師很少。」西格曼期待,未來能有更多人手進入OpenSSL發展計畫,才能避免這種漏洞再次發生。
美國安局否認知情
自史諾登(Edward Snowden)洩密案以來飽受爭議的美國國家安全局(NSA)也在11日否定在此之前便已知曉或甚至利用Heartbleed作為竊資管道。NSA發言人范恩斯(Vanee Vines)表示,NSA在Heartbleed被公諸於世之前,絕對不知道這個安全漏洞的存在,「任何不持如此主張的報導都是錯誤的。」
根據彭博新聞(Bloomberg News)先前報導,2名知情人士透露,美國情報單位的團隊早在Heartbleed發表後不久就發現了這個缺失,並將其作為竊取帳號密碼與其他一般任務的工具管道。此消息立刻在資安社群中引起抨擊,推特編碼工程師格林便說,「如果NSA真的知道Heatbleed的存在,他們得要『好好』的給個解釋。」
