直到幾天前還沒有人認識他,他現在是全球明星。無論如何,在電腦安全領域。羅賓·塞格曼三十多歲,德國明斯特市居民,一篇關於安全通訊的大學論文的作者…對現在著名的「Heartbleed」缺陷負有責任。
在接受《雪梨先驅晨報》採訪時,他解釋說,他在兩年前參與了 OpenSSL 協議的開發。「我修復了很多錯誤並引入了新功能。不幸的是,在其中一個功能中,我忘記檢查包含[協議訊息長度,編者註]的變數”,他解釋道。然而,正是這種未經驗證的行為才是巨大的「Heartbleed」缺陷的根源(在萊克西的博客)。
通常,在開源編碼過程中,總是會有人審查貢獻者所寫的新程式碼。不幸的是,這個程式錯誤也沒有被審查員、史蒂芬漢森博士(Dr. Stephen Henson)注意到,他也是一位英國血統的電腦安全專家。因此,編碼錯誤仍然存在,隨後在大多數網頁伺服器上實現。這是一個著名的一個很好的例子墨菲定律: «當某件事可能出錯時,它就一定會出錯»。
陰謀論
然而,一些網路使用者很難相信運氣不好,並提出了陰謀論。在一個專業論壇,某個 Gomyway 解釋說,例如 Robin Seggelmann“是 T-System International GmbH 的員工,該公司是德國政府擁有的公司”史蒂芬漢森博士“住的地方離英國 GCHQ 總部不遠”。那麼這裡。這兩個同謀是否真的受 NSA 的賄賂,在 OpenSSL 協議中引入後門(既不可見也不為人所知)?
Seggelmann 先生明白這可能是“吸引人的”相信這樣的事情,尤其是在愛德華·斯諾登揭露了所有這些之後。「但在這種情況下,這是新功能中的一個簡單的程式錯誤,而且不幸的是,這一切都發生在與安全相關的領域。這根本不是故意的。”,他解釋道,並指出他不屬於任何情報機構。不過,他認為這個漏洞完全有可能被一些政府悄悄利用。但沒有人會知道。
這個故事的寓意是,像 OpenSSL 這樣的開源專案需要更多的開發人員來檢查程式碼行。業餘愛好者註意…
另請閱讀:
Heartbleed 漏洞:測試您的線上服務的漏洞,2014 年 4 月 9 日
來源 :
