Heartbleed計(jì)算機(jī)安全漏洞是由谷歌工程師NeelMehta發(fā)現(xiàn)的，一向不愿意接受媒體采訪的他，今日首次向媒體說出了他是怎樣發(fā)現(xiàn)這一嚴(yán)重漏洞的;以及為什么會(huì)去第一時(shí)間去查找這一漏洞，并且他預(yù)言將有一些類似的東西會(huì)繼續(xù)上演。

[[122081]]

繼4月7日公開披露Heartbleed的大約半年后，與澳大利亞IT安全博客博主Risky.biz的對話中，Neel Mehta說道他是在運(yùn)行“laborious”源代碼復(fù)查開源軟件——OpenSSL之后發(fā)現(xiàn)的這一漏洞。

源代碼是一種計(jì)算機(jī)代碼，它能使相關(guān)的軟件運(yùn)行;而開源代碼是一種軟件，它是由志愿者免費(fèi)提供的，通常還能被重新分配和修改。

“我過去一直是用Secure Sockets Layer一行一行的編輯OpenSSL，”Mehta說，另外，到目前為止他還沒有說出關(guān)于它的任何信息，因?yàn)檫@會(huì)讓他感覺到不安。

SSL是一個(gè)對網(wǎng)站和用戶之間流量進(jìn)行加密的加密協(xié)議。他發(fā)現(xiàn)的這一漏洞使得他和其他的潛在黑客可以提取那些使用了OpenSSL服務(wù)器的網(wǎng)絡(luò)用戶的個(gè)人信息。

[[122082]]

Mehta說他去調(diào)查SSL協(xié)議的最主要原因是因?yàn)樵谀瓿醯臅r(shí)候他發(fā)現(xiàn)了一些其他的協(xié)議漏洞，例如，二月份發(fā)現(xiàn)的GoToFail安全漏洞和三月份發(fā)現(xiàn)的GnuTLS漏洞。

出乎他意料的是，他沒有想到這一漏洞對主流媒體造成了如此巨大的反響，但是與此同時(shí)，一個(gè)安全公司也發(fā)現(xiàn)了這一安全漏洞。

他還說他相比較于其他人的夸張說法，他對Heartbleed造成了怎樣的嚴(yán)重后果一點(diǎn)也不熱心，并且Bloomberg對此發(fā)出質(zhì)疑，表示在他之前就有間諜已經(jīng)發(fā)現(xiàn)了這一漏洞并且進(jìn)行了一些不可告人的行為。

Mehta說新的漏洞在不斷的上演，Shellshock比Heartbleed更為嚴(yán)重。該漏洞是由開源軟件開發(fā)者Stephane Chazelas發(fā)現(xiàn)的。但他很疑惑為什么Heartbleed會(huì)發(fā)現(xiàn)的那么晚，因?yàn)樵诎l(fā)現(xiàn)之前它已經(jīng)存在兩年多了，也可能是因?yàn)榧用苘浖脑虬?。在過去的一年內(nèi)加密變得越來越重要，因?yàn)槭芮懊绹鴩野踩謫T工Edward Snowden揭露了一些秘密文件的影響。

Shellshock和Heartbleed之所以那么嚴(yán)重是因?yàn)檫@些漏洞存在于Bash 和OpenSSL軟件之中。他還懷疑過其他的軟件——粘附性的軟件，這些軟件上可能有一些存在多年但又沒被發(fā)現(xiàn)的漏洞。他提名的Zlib，是一個(gè)包含了很多軟件的壓縮庫，libjpeg是一個(gè)使用C庫進(jìn)行讀取和寫入JPEG圖像的文件，它也可能含有潛在的漏洞。