走近科学:谷歌工程师NeelMehta是如何发现心脏滴血漏洞的

Heartbleed计算机安全漏洞是由谷歌工程师NeelMehta发现的,一向不愿意接受媒体采访的他,今日首次向媒体说出了他是怎样发现这一严重漏洞的;以及为什么会去第一时间去查找这一漏洞,并且他预言将会有一些类似的漏洞继续上演。

继公开披露Heartbleed的大约半年后,在与澳大利亚IT安全博客博主Risky.biz的对话中,Neel Mehta说道他是在用“laborious”源代码复查开源软件——OpenSSL之后发现的这一漏洞。

源代码是一种计算机代码,它能使相关的软件运行;而开源代码则是一种软件,是由志愿者免费提供的,通常还可被重新分配和或进行修改。

他说他过去一直是用Secure Sockets Layer逐行的来编辑OpenSSL,但现在却存在漏洞,实在是令他很是担忧。

SSL是一个对网站和用户之间流量进行加密的加密协议。而他发现的这一漏洞可使得包括他在内的一些潜在的黑客可以获取网络用户的个人信息。

Mehta说他之所以去调查SSL协议最主要原因是因为在年初的时候他发现了一些其他的协议漏洞,所以他对SSL协议也产生了一些怀疑,例如,二月份发现的GoToFail安全漏洞和三月份发现的GnuTLS漏洞。

出乎他意料的是,他没有想到这一漏洞会对主流媒体造成了如此巨大的反响,但是,与此同时,另一安全公司也在同一时间发现了该安全漏洞。

他还说他相比较于其他人的巨大反应,他对Heartbleed造成了怎样的严重后果一点也不热心。Bloomberg对他是第一时间发现这以安全漏洞表示质疑,因为在他之前就有间谍已经发现了该漏洞并且进行了一些不可告人的行为。

Mehta说新的漏洞还在不断的上演,而且可能更为严重,例如Shellshock就比Heartbleed严重。Shellshock是由开源软件开发者Stephane Chazelas发现的。该漏洞在两年前就已经存在了,但为什么到现在才被发现他猜想可能是因为加密软件的原因。因为自从前美国国家安全局员工Edward Snowden揭露了相关的秘密文件之后,大家对文件的加密越来越重视了。

Shellshock和Heartbleed之所以那么严重是因为这些漏洞存在于Bash 和OpenSSL软件之中。他还怀疑过其他粘附性的软件,因为这些软件上可能有一些存在多年但又没被发现的漏洞。比如他提名的Zlib,是一个包含了很多软件的压缩库,就可能含有潜在的漏洞。(使用这一软件的用户要当心了)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-10-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

神器分享:物联网黑客工具包

今天,我将在BSides San Francisco做一个题为“物联网黑客工具包”的演讲。我会准备一个幻灯片并且发布一篇博客去参加这个演讲,如果有我演讲的视频链...

1510
来自专栏Material Design组件

今后设计可注意的点

给用户一份精美小礼品这样的友好举动再好不过了。具体来讲,送出礼品也是之有效的获得客户忠诚度的战术,这是建立在人们互惠准则上的。而这样做所带来的好处也是显而易见的...

954
来自专栏小白课代表

从今天起,再也不愁找不到想玩的游戏了——taptap

1262
来自专栏大数据文摘

业界 | 谷歌版“剑桥分析事件”上演,华尔街日报发文谴责,谷歌长文回应

据外媒消息,谷歌同名社交网络Google+因为出现BUG将会关闭,并且因为安全漏洞,496,951名用户的姓名、邮箱、性别等一系列的私人资料将可能遭到泄露。

1335
来自专栏区块链

纺织人快看:如果微信这个开关没关,你的手机会越来越卡!

微信可以说是当今最流行的社交软件 随时随地都能看到一群年轻人 没事就刷朋友圈、看小视频 每每看到自已喜欢的图片 都会保存在手机 这样每天微信都会存储大量的照片和...

2149
来自专栏工科狗和生物喵

【闲来无事,py写game】Mac-Python3.5安装pygame 1.9.2 小计

正文之前 没错,我就是这么不学无术,C++实在学的鸡儿疼,所以干脆搞点娱乐措施,昨天赶上了京东图书做大活动,所以屯了一批书,好久没碰python了。所以就整本玩...

5476
来自专栏闵开慧

云计算历程和前途

在经过了主机时代,PC时代之后,IT世界正在进入云计算时代。   今天,我们来聊一聊,主流计算机技术是如何进化到云计算时代的。   主机...

76913
来自专栏专知

【观点】漫谈推荐系统及数据库技术(二)——分布式数据库技术

【导读】推荐系统和数据库技术,一个是偏机器学习数据挖掘相关的应用,一个是偏系统存储相关的技术,这两者在实际中有很大的应用。上一次专知推出漫谈推荐系统及数据库技术...

3629
来自专栏Jerry的SAP技术分享

SAP成都研究院许聚龙:Hello, Coresystems!

Jerry的前一篇文章《SAP成都研究院数字创新空间沟通S/4HANA和C/4HANA的智能服务演示视频和Coresystems分享预告》已经提到,接下来会由S...

1392
来自专栏FreeBuf

安全摘记 | 互联网安全小兵的日常

*本文原创作者:starshine,本文属FreeBuf原创奖励计划,未经许可禁止转载 生活不只有眼前的苟且,还有诗和甲方。于是,我来到了甲方,成为了一个互联网...

1929

扫码关注云+社区