Heartbleed计算机安全漏洞是由谷歌工程师NeelMehta发现的,一向不愿意接受媒体采访的他,今日首次向媒体说出了他是怎样发现这一严重漏洞的;以及为什么会去第一时间去查找这一漏洞,并且他预言将会有一些类似的漏洞继续上演。
继公开披露Heartbleed的大约半年后,在与澳大利亚IT安全博客博主Risky.biz的对话中,Neel Mehta说道他是在用“laborious”源代码复查开源软件——OpenSSL之后发现的这一漏洞。
源代码是一种计算机代码,它能使相关的软件运行;而开源代码则是一种软件,是由志愿者免费提供的,通常还可被重新分配和或进行修改。
他说他过去一直是用Secure Sockets Layer逐行的来编辑OpenSSL,但现在却存在漏洞,实在是令他很是担忧。
SSL是一个对网站和用户之间流量进行加密的加密协议。而他发现的这一漏洞可使得包括他在内的一些潜在的黑客可以获取网络用户的个人信息。
Mehta说他之所以去调查SSL协议最主要原因是因为在年初的时候他发现了一些其他的协议漏洞,所以他对SSL协议也产生了一些怀疑,例如,二月份发现的GoToFail安全漏洞和三月份发现的GnuTLS漏洞。
出乎他意料的是,他没有想到这一漏洞会对主流媒体造成了如此巨大的反响,但是,与此同时,另一安全公司也在同一时间发现了该安全漏洞。
他还说他相比较于其他人的巨大反应,他对Heartbleed造成了怎样的严重后果一点也不热心。Bloomberg对他是第一时间发现这以安全漏洞表示质疑,因为在他之前就有间谍已经发现了该漏洞并且进行了一些不可告人的行为。
Mehta说新的漏洞还在不断的上演,而且可能更为严重,例如Shellshock就比Heartbleed严重。Shellshock是由开源软件开发者Stephane Chazelas发现的。该漏洞在两年前就已经存在了,但为什么到现在才被发现他猜想可能是因为加密软件的原因。因为自从前美国国家安全局员工Edward Snowden揭露了相关的秘密文件之后,大家对文件的加密越来越重视了。
Shellshock和Heartbleed之所以那么严重是因为这些漏洞存在于Bash 和OpenSSL软件之中。他还怀疑过其他粘附性的软件,因为这些软件上可能有一些存在多年但又没被发现的漏洞。比如他提名的Zlib,是一个包含了很多软件的压缩库,就可能含有潜在的漏洞。(使用这一软件的用户要当心了)