Dünyadaki web sitelerinin 2 / 3'ünü "kalp kanaması" yaptıktan sonra OpenSSL'ye ne oldu?
OpenSSL'nin Heartbleed güvenlik açığı, İnternet güvenliği tarihindeki en ciddi güvenlik açıklarından biri olarak adlandırılırsa, muhtemelen buna karşı çok fazla insan olmayacaktır.
SSL (Güvenli Yuva Katmanı) protokolü, en yaygın kullanılan web sitesi şifreleme teknolojisidir ve OpenSSL, dünya çapında binlerce web sunucusu tarafından kullanılan açık kaynaklı bir SSL paketidir. Bu ciddi güvenlik açığının ortaya çıkmasından sonra, dünyadaki web sitelerinin üçte ikisi saldırıya uğrayabilir.Bu tür bir saldırı, hala "kapıyı aç ve bilgiyi istediği zaman yağmalama" türüdür.
9 Nisan 2014'te, güvenlik açığı ortaya çıktıktan sonra, OpenSSL'nin arkasındaki ekip medya tarafından haber vermek için acele edildi ve hikayeleri yavaş yavaş bilinir hale geldi. Hammer Technology Luo Yonghao, 2015 yılında OpenSSL'ye 2 milyon yuan bağış yaptığını duyurdu. Belli bir medyanın başrol oyuncusu olarak OpenSSL ile bir "Görünmez Yoldaş" yayınladıktan sonra, OpenSSL "ateşlendi". Bunu, başka bir tanınmış kişinin "Mahremiyetimizi kim savunuyor? OpenSSL'nin Gerçek Hikayesi.
Çekişme açısı şu yönlere odaklanır:
1. OpenSSL gerçekten bu kadar kahramanca mı?
2. OpenSSL gerçekten bu kadar zayıf mı? Daha önce çok az kişi bağışta bulundu mu?
3. Gerçek OpenSSL neye benziyor?
23 Eylül'de OpenSSL ekibinin üyeleri, OpenSSL'nin kurucularından biri olan, OpenSSL'nin kurucusu OpenSSL SSLeay'in kurucusu, ABD Savunma Bakanlığı'nın eski danışmanı Steve Marquess'in ("Görünmez Yoldaşlar" da Steve olarak da bilinir) Baishan Cloud Technology'yi ziyaret ettiğinde Bunlardan biri, Tim Hudson ve Baishan Bulut Teknolojisi Mimarı Yang Yang, OpenSSL kod katkı listesinde 18. sırada yer aldı ve Leifeng.com da dahil olmak üzere medyadan yapılan röportajları kabul etti.
Yang Yang (soldan birinci), Tim Hudson (soldan ikinci), Steve Marquess (sağdan birinci)
OpenSSL'nin gerçek hikayesi kendi başlarına anlatılmalıdır.
-
OpenSSL'ye "kalp damladıktan" sonra ne oldu?
Steve ve partisi daha önce hiç Çin'e gitmemişti.
Bu hafta Steve ve OpenSSL'nin diğer dört çekirdek üyesi de Alibaba, Baidu, Tencent, Huawei, Hammer Technology vb. Ziyaretleri gerçekleştirdiler ve son durakta iyi takım arkadaşları Yang Yang'ın olduğu Baishan Bulut Teknolojisine geldiler.
Huawei ve Hammer Technology gerçekten de Çin'deki OpenSSL'ye en çok bağış yapan iki şirket. Steve ilk olarak Baishan Cloud Technology'nin bu etkinliğinde iki şirkete minnettarlığını dile getirdi.
Steve, "Çin'den diğer ülkelerden daha fazla fon aldık." Dedi.
Şimdi OpenSSL'nin hayatı çok daha iyi. Üç yıl önce sadece iki tam zamanlı çalışanla karşılaştırıldığında, şu anda ikisi bu sefer Çin'e gelen 4 tam zamanlı çalışanı var.
"Kalp kanaması acı verici bir deneyim ama gerçekleşmesi de güzel. Bu olay ne kadar bilgisayar teknolojisinin ve İnternet'in OpenSSL'ye bağlı olduğunu gösteriyor. Birçok medya bildirdi. Bu, ciddi bir güvenlik açığı olan OpenSSL nedeniyle gerçekleşti. Bu, böylesine büyük ölçekli, böylesine yüksek düzeyde bir karmaşıklık ve böylesine büyük bir etki alanı ile ilgili bir sorun, ancak güvenliğini sağlamak için yeterli insan gücü yok. "Steve," kalp damlayan "güvenlik açığının nedenini açıkladı.
Yine de, "Gizliliğimizi kim savunuyor? The True Story of OpenSSL'de yazar şunları yazdı:
"OpenSSL'nin 'kalp kanaması' güvenlik açıklarını yayınlama süreci de çok sorunlu. Genel olarak, ciddi güvenlik açıkları süreci önce kamuya duyurulmamak ve ana işletim sistemi geliştiricilerine ve ilgili satıcılara derhal haber vermektir, böylece herkes önce bunları değiştirebilir ve ardından güvenlik duyurusunu yayınlayabilir ve Yükseltme. Bunun nedeni, işletim sistemine yama uygulanmazsa, pek çok sıradan kullanıcının güvenlik açıklarının yamalanamayacağını bilmesi ve bu da bilgisayar korsanlarının bu güvenlik açıklarından yararlanmasını kolaylaştırmasıdır. OpenSSL, Google onları güvenlik açıklarından haberdar ettikten sonra bunu yapmaz. , OpenSSL herhangi bir işletim sistemi satıcısına bilgi vermedi, ancak birkaç büyük CDN satıcısı tarafından garip bir şekilde biliniyordu, yani sızıntının nerede meydana geldiği bilinmiyordu. Bundan sonra, açık kaynak topluluğunda bu büyük hataya dair söylentiler vardı. O zaman, birkaç büyük işletim sistemi hala resmi olarak bilgilendirilmedi. OpenSSL'nin Red Hat'e bildirim yapması üç gün daha sürdü ... "
O üç günde OpenSSL'ye ne oldu?
Tim şunları söyledi: "Bildiğim kadarıyla, kalp kanaması olayı birbirini tanımadan iki ekip tarafından bağımsız olarak keşfedildi. Diğer şirketlere değil, sadece bizim cevabımızdan sorumluydum. O zamanlar güvenlik açığı çok ciddiydi. Ciddi tehlike seviyeleri için, aldığımız önlemler de o sırada makul görülen önlemlerdir. Tüm süreçte, kim neyi yaptı ve kimin hangi boşlukları keşfettiği kamuya açıktır ve web sitemizde bulunabilir. "
Steve, böylesine büyük bir olayda, sınırlı personele sahip bir ekip için hayatın gerçekten zor olduğunu söyledi. Görünüşe göre bilinmeyen bir ekip bir anda internette yayıldı. Steve'in iyi arkadaşları ve hatta diş hekimi endişeyle sordu, "Seni son zamanlarda televizyonda görmek sorun olur mu?"
O dönemde OpenSSL baskı altındaydı ve çok eleştirildi, ince buz üzerinde yürüdüler, gelecekte aynı hataları tekrarlayabileceklerinden endişelendiler, ancak bazı cesaret verici geri bildirimler de aldılar. Steve'i sıcak hissettiren şey, daha önce hiç duymadığı bazı Afrika ülkelerinin cesaret verici e-postalar göndermesi ve ekibin daha önce pek dikkat etmediği Çin'in de "teşvik edici mesajlar" göndermesidir.
"4 tam zamanlı çalışanı olan bir ekibe genişlemenin yanı sıra, bazı OpenSSL üyelerinin kendi işleri var, ancak şirketleri onları bazı OpenSSL işleri yapmaya teşvik ediyor. Bu şirketler bize dolaylı bir şekilde destek sağlıyor. Ayrıca kabul ediyoruz. Yüzlerce Çinli ve iki Çinli şirket, Hammer Technology ve Huawei bize fon sağladı. Çin'den diğer ülkelerden daha fazla fon aldık. "Dedi Steve dedi.
Ondan sonra OpenSSL'nin yeniden dirilişi oldu.
Bu ekip yeniden yapılandırıldı ve sisteme daha önce borçlu olunan teknik borcu geri ödedi. Bu teknik borçlar, daha önce iyi bir şekilde yeniden düzenlenmemiş ve modernize edilmemiş ve daha sonra sürekli olarak yeni kodlar ve işlevler eklenmiş bazı kodlara atıfta bulunur. Kod tabanı, ilk önemli denetim de bu dönemde tamamlandı.
Daha önce, OpenSSL ekibinin kaotik yönetimini eleştiren sesler vardı.Steve durumun düzeldiğini söyledi.Şimdi OpenSSL'nin 14 "katılımcısı" ve 8'i iki pozisyonda olmak üzere 10 yönetim komitesi üyesi var.
Şimdi paraları eksik mi
OpenSSL ekip üyeleri bu kez Çin'e geldi ve buna katkıda bulunan Yang Yang'dı.
15 yıl boyunca biriyle çevrimiçi sohbet etmenin nasıl bir şey olduğunu hayal etmek zor, ancak asla çevrimdışı buluşmayın. Bu, OpenSSL ekibinde çok yaygın bir olgudur. Daha da düşünülemez olan şey, tüm OpenSSL ekibinin toplamda üç kez çevrimdışı bir araya gelmesidir.
İlk toplantı 2014 yılında Almanya'da bir konferanstan sonra gerçekleşti. Harika bir deneyimdi.OpenSSL ekibinin bir düzine üyesi bir toplantı odasına girdi. Bazılarının görüntülü sohbetleri olmasına rağmen hala birbirleriyle tanışmadılar.
Üçüncü toplantı bu sefer Çin'de oldu: birkaç eski arkadaşın bir araya geldiği bir toplantı.
Yang Yang, OpenSSL ekibiyle iki ya da üç yıl önce, henüz Alibaba'dayken tanıştı ve OpenSSL ile olan teması, projeye yerleştirme ile ilgiliydi. O sırada, OpenSSL için yarı zamanlı kod katkısında bulunmamıştı. Geçen yılın sonunda Yang Yang, Baishan Bulut Teknolojisine katıldı.Şirket, uzaktan çalışmasına ve aynı zamanda OpenSSL'ye kod katkıda bulunmasına destek vermesine izin verdiği için, memleketi Shenyang'da çalışan adam şu anda 10: 00-18: 00 saatleri arasında Baishan Bulut Teknolojisi için çalışıyor. İlgili konuları ele alın ve 08:00 - 03:00 saatleri arasında OpenSSL için açık kaynak koduna katkıda bulunun. Şu anda Yang Yang, kod hacmi ve kod kalitesine göre sıralanmış OpenSSL katkı listesinde dünyada 18. ve Çin'de ilk sırada yer almaktadır.
Yang Yangın OpenSSL ile ilişkisini öğrendikten sonra, yalnızca iki yıldır faaliyet gösteren Baishan Bulut Teknolojisi, çalışmalarını tam olarak destekledi ve Yang Yang ile OpenSSL arasındaki özel bir buluşmayı bir OpenSSL Çin gezisine dönüştürdü ve OpenSSL ekibine tam olarak yardımcı oldu. Üyeler ve ünlü Çin İnternet şirketi arasındaki iletişim için Yang Yang, tüm süreç boyunca çevirmene eşlik etmek zorunda kaldı çünkü bu ekipteki hiç kimse Çince bilmiyordu.
Daha önce, bazı yabancı şirketler çalışanlarının OpenSSL'ye zaman ve kod katkısında bulunmalarını desteklediler, ancak Çin'de Yang Yang gibi çok sayıda yarı zamanlı OpenSSL üyesi yok.Aynı zamanda bir OpenSSL güvenlik araştırmacısı olan 360 CERTGear Ekibi, yerinde destek için Baishan Bulut Teknolojisine geldi Shi Lei.
Aslında, "Gizliliğimizi kim savunuyor? "OpenSSL'nin Gerçek Hikayesi" makalesine göre, hiçbir kişi ve şirket OpenSSL'ye bağış yapmaz. OpenSSL'ye bağış yapmanın birkaç yolu vardır: bireyler veya şirketler doğrudan OpenSSL vakfına bağış yapar, Linux Vakfı aracılığıyla OpenSSL'ye bağış yapar ve şirketler veya bireyler katkıda bulunur. OpenSSL'ye açık kaynak kodu veya çalışan zamanı ...
Ancak durum, eleştirmenlerin söylediği kadar iyimser değil. Steve Leifeng.com'a kendi vakfına ek olarak şu anda yalnızca Linux vakfının OpenSSL'ye bağışta bulunduğunu söyledi. Bağış miktarı efsane kadar büyük değil. Yalnızca son üç yıldaki iki yeni tam zamanlı personelin yıllık maaşını alıyor. OpenSSL henüz başka bir şey almadı. Vakıf endişeli, ancak başka şirketlerden ve bireylerden de bağışlar var.
Steve, "Intel gibi şirketlere yardım etmek gibi daha çok danışmanlık işbirliği yapıyoruz. Son 5 yılda, gelirin 1 / 4'ünün ticari işbirliğinden elde edildiğini tahmin ediyorum." Dedi.
Tim şunları söyledi: "İster şirket ister şahıs olsun, kod bağışları var. Araştırma ve değerlendirme yapacağız. Mümkün olduğunu düşünürsek, yazılım onay listesine ekleyeceğiz. Ayrıca bazı katkı türleri var, bazıları kod, bazıları belge ve bazıları yardımcı oluyor Hataları ararız ve bekleriz, ne olursa olsun, memnuniyetle karşılıyoruz. "
Üç yıl önce, OpenSSL o kadar zayıftı ki sadece "küçük bir gelir" vardı.
Steve, OpenSSL ekibinin çok yetenekli ama fakir bir programcıya sahip olduğunu söyledi Stephen Henson, Stephen ne kadar fakir? Steve, o kadar zavallı dedi ki, bunu bildiğimde şok oldum.
Steve ve Stephen birbirlerini 15 yıldır tanıyan ama hala tanışmamış eski arkadaşlar, çünkü Stephen benzersiz bir kişiliğe sahip ve çok utangaç bir insan ... Daha önce pasaportsuz bile uçağa binmemişti. Ancak Stephen, Steve'in işyerinde en güvenilir kişi olduğunu düşündüğü kişidir ve herhangi bir projenin sonunda kodu asla geç teslim etmemiştir.
Bu nedenle, Steve, Stephen'ın durumunu öğrendikten sonra, Stephen'ın hayatını desteklemek için bazı ticari projeler yürütmesine yardımcı olmak için tam yetkiye sahiptir.
Daha önce de belirtildiği gibi, Steve eski ABD Savunma Bakanlığı'nın danışmanıdır ve iyi bir üne sahiptir.İlk günlerde Stephen sadece bilinmeyen bir programcıydı. Stephen'ın bu projeleri başarılı bir şekilde elde etmesi için Steve bu projeleri yalnızca kendi adına imzalayabilirdi. Stephen tüm süreci tamamladı. Bazen Stephen, tüm yıllık gelirini Steve'den alıyor. İkisi arasında herhangi bir anlaşma olmadığı için, biri kendi kredisini teminat olarak kullandı, diğeri ise mali meselelerle başa çıkmasına yardımcı olması için diğerine tamamen güvendi ve bu zımni anlayış uzun yıllardır sürdürüldü.
Gerçek OpenSSL
Steve, "Görünmez Yoldaşlar" makalesinin çevrilmiş halini okuduğunda, makalenin yayınlanmasının üzerinden yarım yıl geçmişti. Steve, makalenin "kahramanlık" rengiyle ilgili olarak, bunun gerçekten bir abartı olduğunu söyledi.
İlginç bir şekilde Steve, makaleyi o sırada Yang Yang'a da gönderdi ve ikisi, makalede abartılan bazı ayrıntıları tartıştı.
Bu makalenin yayınlanmasından sonra OpenSSL'nin bazı iyi geri bildirimler aldığı ve Çin'den bazı e-postaların ve bağışların geldiği inkar edilemez.
Lei Feng.com'un editörü Steve ve diğerlerine OpenSSL'yi kurma motivasyonu hakkında soru sormadı. Çünkü konuşmasında OpenSSL'ye katılmak istiyorsanız bunun kesinlikle paradan kaynaklanmadığını, ısrar etmek istiyorsanız mükemmel C programlama becerilerine, azim ve ilgiye sahip olmanız gerektiğini belirtti.
"Açık kaynak sadece kendiniz için kod yazmakla ilgili değildir. Daha fazla zorluk vardır. Kodun ticari bir önemi olduğunu umuyoruz. Bazı şirketler çalışanlarımızı işe almaya isteklidir. Ancak bazı insanlar yalnızca kâra odaklanırsa, normal zamana ve paraya yatırım yapacak sabrı olmayabilir. Açık kaynak yapın. Bu yüzden bazı geliştiriciler ve programcılar ekibimizden ayrıldı. Örnek olarak, OpenSSL'yi hobi olarak yapabilirim. Ev kredisini ödedim ve kızım mezun oldu, bu yüzden bankaya hiçbir şey borçlu değilim. Para, aç olma konusunda endişelenme, bu yüzden OpenSSL üzerinde çalışmak için çok zaman harcadım. Hatta bazı OpenSSL ile ilgili danışmanlık yaparak biraz para kazandım. Şimdi OpenSSL ile ilgili birçok şirket var, bu yüzden bu alanda danışmanlığa ihtiyacım var. "Steve Söyle.
Yang Yang, herkesin müzik dinlemeyi ve film izlemeyi sevmesi gibi, bunu kendi başına yapmanın da "eğlence için" olduğunu söyledi.
OpenSSL ve Steve ile ilgili olarak, aslında bazı söylentiler ve yanlış anlaşılmalar var.
Steve, işinin serbest çalışan bir danışman olduğunu, yaptığı şeyin bir projeden diğerine, hayatın her kesiminden müşterilere 40 yıldan fazla hizmet vermek olduğunu söyledi. Daha önce, silah ticaretine maruz kalacağına dair söylentiler vardı. Aslında kendisi silah ve füze gibi silah işlemleri yapmadı. Bu söylentinin nedeni, ABD hükümetinin daha önce şifrelerin veya şifreleme sistemlerinin silah olarak kabul edilmesini şart koşmuş olması, bu nedenle orduyla işbirliği projesi olan Steve'in silah ruhsatı için başvurması gerektiğidir.
Steve OpenSSL'ye katıldığında, hala bilinmeyen bir organizasyondu ve bu kadar güçlü bir kahramanlık kompleksine sahip olmadığını ve bu bilinmeyen organizasyonun ona ilk başta sözde "kahraman" duygusunu vermediğini açıkladı. Ancak "kalp damlayan" olaydan sonra OpenSSL'ye katılmak bu etkiye sahip olabilir.
OpenSSL'nin yalnızca birkaç küçük isteği olabilir.
"Projenin arkasındaki motivasyon nedir? Bu açık kaynaklı bir proje. OpenSSL'nin geniş uygulamasını görmekten de çok mutluyuz ve uygulamasının tüm kullanıcılara fayda sağlayacak şekilde genişlemeye devam edeceğini umuyoruz. Hangi özelliklerin insanlar için olduğundan emin değiliz. Bazı şirketlerin özel ihtiyaçları olduğunu görmek isterim, ancak bize söylemezlerse bu bilgiyi alamayız. Bazen bazı ayarlamalar yaparız ve bu OpenSSL topluluğu için faydalı olur. Ayrıca, biz Sürüm kullanıcılara fayda sağlamak için yayınlanırken yamalar sürekli olarak korunacak ve güncellenecektir. Bu nedenle, OpenSSL'yi kendi amaçlarınız için değiştirmenin gerekli olduğunu düşünüyorsanız, belki herkesin sesini duyabiliriz, küçük ayarlamalar bile çok büyük Talep et. "Steve dedi.
