如何祕密修複三分之二的網路?
當第一次傳出令人心血的臭蟲的訊息時,新聞像火警一樣傳播——但傳播並不均勻。該漏洞在每三臺伺服器中傳播多達2臺,這使得標準披露成為不可能的。像Facebook這樣的公司很早就收到了訊息,要麼是谷歌,要麼是OpenSSL,週一的訊息傳出時,這些公司已經被修補了。其他一些人,如亞馬遜和雅虎,都在爭搶保護自己。但是為什麼有些公司在其他公司陷入冷境時會提前發出警告呢?雅虎被排除在圈子之外時,Facebook是如何發現的?
“反壟斷法不妨礙。”
從某種角度看,這似乎是在挑選最受歡迎的人——以至於聯邦貿易委員會(FTC)今天上午發表了一份宣告“明確表示,反壟斷法不妨礙合法分享網路安全威脅資訊。”但在行業內分享這些資訊有一個複雜的禮儀,通常被稱為“負責任的披露”。這個想法是在漏洞成為公共知識之前與服務提供商共享漏洞,這意味著區分好人和壞人。在一個完美的世界裡,在一個壞人有機會攻擊之前,你應該讓所有的好人都知道。但就像任何祕密一樣,每一個新的內幕人士都增加了訊息洩露的風險。最壞的情況是心血洩漏到一個黑帽論壇,在那裡訊息將首先傳播給攻擊者。在某一時刻,研究人員不可避免地認為洩漏的風險太大,他們別無選擇,只能提前公佈洩漏情況。
每一位新的內幕人士都增加了訊息洩露的風險
心碎了,就是這樣。上週早些時候,內容分髮網路CloudFlare的一位安全工程師從一位朋友那裡收到了一條令人震驚的訊息:儘快將您的PGP加密金鑰傳送給我。只有建立了一個安全的渠道,簽訂了保密協議,他才能分享令人心碎的驚人訊息。在那之後,真正的工作就可以開始了。
儘快把你的PGP鑰匙寄給我
在訊息洩露之前,Facebook也收到了類似的訊息,並修補了其服務,但到了週一,OpenSSL專案變得緊張起來。根據《華爾街日報》的一篇報道,是芬蘭網路安全域性發出警告,才迫使披露此事。沒有人知道是誰告訴了該機構,因此OpenSSL別無選擇,只能假設祕密已經洩露,併發布公共安全諮詢,直接提醒所有受影響的客戶。這讓很多人束手無策,包括亞馬遜(Amazon)和雅虎(Yahoo)等巨頭,它們只能爭先恐後地進行更新。就連谷歌的一些輔助服務也被這一訊息弄得措手不及,原因很簡單,工程師們不能冒險把這個祕密傳播到公司的每個角落。
他們能處理得更好嗎?
他們能處理得更好嗎?即使是現在,許多人仍持懷疑態度。”CloudFlare執行長馬修•普林斯(Matthew Prince)表示:“這是一個很難概括的案例。”如果漏洞只存在於一家公司,那麼很容易進行負責任的披露,但當它影響到所有這些不同的服務時,就真的很難了。“披露必須平衡潛在的危害和洩露的可能性,只接觸具有極大預防性的可信來源。
這種披露沒有路線圖
雖然雅虎使用者肯定感到自己在早期披露中被拒之門外,但許多人認為谷歌和OpenSSL專案是正確的,將CloudFlare和Akamai等內容分髮網路作為優先事項。”CDN尤其需要在這一點上得到一個快速的突破,”ICSI的NicholasWeaver說,“因為有人可以在伺服器上使用這個,竊取伺服器的私鑰,而你永遠不知道他們有它。”這些私鑰攻擊比雅虎登入不那麼明顯,但影響到更多的人。儘早關閉這些渠道可能會防止道路上的巨大損失。
最後,這種披露沒有路線圖,因為以前從來沒有出現過這麼大的問題。祕密修複漏洞意味著設定優先順序,選擇哪些公司加入,哪些公司不加入,而且總是有理由對這些決定進行二次猜測。但隨著網路的發展,這是一個行業可能需要再次面對的問題。
- 發表於 2021-04-25 17:43
- 閱讀 ( 41 )
- 分類:網際網路
你可能感興趣的文章
蒂姆伯納斯李說,網際網路接入應該是一項基本權利
...尤研究中心(Pew Research Center)的資料,僅在美國,只有三分之二的農村人口擁有寬頻接入,而郊區人口的這一比例為79%。而美國聯邦通訊委員會(Federal Communicati*** Commission)普遍不喜歡的寬頻地圖並不能完全清晰地反映美國寬...
mac os x lion 10.7.3更新現已推出,充滿了祕密修複
如果你正在執行OSXLoon,彈出開放軟體更新-有一個新版本的作業系統要安裝。版本10.7.3的重量為730MB,但是提供了一些普通使用者會註意到的變化。蘋果官方的changelog指出,它改進了與Windows檔案共享的相容性,解決了從睡眠中醒...
cricket用clearwire為其lte網路簽約
...容量,該網路去年底在圖森投入使用,未來幾年將擴大到三分之二的客戶。這使得Cricket成為繼Sprint之後第二家與Clearwire簽約的LTE公司。 兩家公司拒絕透露財務細節,但我們猜測Cricket的價格相當不錯,特別是因為Clearw...
截至4月19日,verizon的lte網路將覆蓋美國三分之二以上的地區
...**,現在Verizon宣佈,截至4月19日,其高速網路將覆蓋超過三分之二的美國人口。這是另一個大規模推出的計劃日期-這一次將包括27個新市場,並增加額外的44個覆蓋範圍。Verizon的計劃是在年中之前覆蓋全國三分之二的地區,因此...
報告稱,airbnb在紐約上市的三分之二是非法的
...和市場研究公司Skift今天釋出的一份深入報告,紐約市近三分之二的Airbnb上市公司是非法的,該公司是Airbnb的常客。這比斯基夫特此前的技術評估更糟糕,後者稱約50%的上市公司違反了法律。 早在10月份,紐約總...
facebook正在用鐳射製造無人機,將網際網路帶到世界各地
...披露,它與其他主要科技公司聯手,將網際網路接入全球三分之二的離線地區,這讓很多人感到驚訝。但真正令人驚訝的是他們的計劃。今天,Facebook證實了一些傳聞,稱工程師們正致力於開發一種太陽能無人機機群,這種無人...
為什麼heartbleed是web上最危險的安全漏洞
...經打了補丁,不過該團隊仍在努力在網站的其他部分實施修複。)據報道,其他幾十家較小的公司也受到了影響,其中包括Imgur、Flickr和LastPass(儘管LastPass說沒有暴露未加密的資料)。”這是災難性的壞,只是一個巨大的破壞性...
一座引人註目的紐約摩天大樓是如何被祕密地從倒塌中拯救出來的
...率為十六分之一。前往99%的隱形人那裡,瞭解這座建築是如何祕密修複的,直到1995年才有人發現潛在的危險。
聯合國報告稱,到今年年底,網際網路將有近30億使用者
...網際網路將擁有近30億使用者,約佔世界人口的40%。其中三分之二的使用者將在發展中國家。 這些數字指的是過去三個月內使用過網際網路的人,而不僅僅是那些能夠上網的人。 發達國家的網際網路普及率正...
據報道,谷歌為全球網際網路服務發射了180顆衛星
...。”網際網路連線顯著改善了人們的生活。然而,世界上三分之二的人根本無法訪問,“但也有一個財政原因,可以為這三分之二提供一種可靠的上網方式。如果至少有一種方法——氣球、無人機或衛星——能夠成功地向世界上...
