網路安全正淌血

近兩年來，全世界有2/3的網站可能遭到遠端攻擊者竊取資料，這是史上最嚴重的網際網路安全漏洞，稱為「心淌血」（Heartbleed）。大多數網站管理者無法從網站記錄中發現心淌血攻擊，所以我們無法確知有多少網站因這個漏洞而受到攻擊或哪些資料可能已經外洩。

今年初這個漏洞被揭露時，美國白宮很難得地發表明確且直接的聲明，表示在發現這個漏洞前，美國政府對它一無所悉，讓外界無從批評美國政府隱瞞這個重大弱點的相關訊息。不過美國政府無法就此置身事外，沒有發揮領導能力、事先防範危機爆發，本身就是項嚴重過失，而要防範下次危機，同樣需要有人領導。造成領導斷層的主因是安全軟體採用開放源碼（open source）的比例越來越高，開放源碼是程式設計師為公共利益撰寫並開放大眾共享的程式碼。心淌血漏洞源自2011年一位德國博士研究生寫進加密軟體OpenSSL的程式碼中有一個常見的錯誤，但不知為何沒有人發現。這段有問題的程式碼通過OpenSSL的檢查程序並用於正式版中，經過兩年卻完全沒有人注意。

OpenSSL這類開放源碼軟體允許所有人自由查看及分析程式碼，不但公認安全度相當高，也更有機會發現程式的問題。開放源碼支持者雷蒙（Eric S. Raymond）稱此為賴納斯定律（Linus’s law），他說：「只要有夠多雙眼睛，問題就無所遁形。」但前提是，查看的眼睛確實要夠多。OpenSSL的檢查人手嚴重不足，該專案網站主要的工作團隊只有三個人，而每年預算不到100萬美元。如果在安全檢核方面多投入100或200萬美元，或許就能防範心淌血漏洞。然而，OpenSSL安全軟體是有籌資問題的公共財，一旦對外公開，就無法防止有人藉它獲取利益，很多人想拿別人的錢做無本生意。美國政府通常會提供經費給基礎科學研究這類公共財，但很少投資在OpenSSL等安全軟體。儘管每年投下數十億美元在網路安全上，並且宣稱「網路空間」是國家重點發展項目，但投資在這個核心安全基礎設施連幾百萬美元都不到。

【全文未完，完整內容請見《科學人》第150期（2014年8月號）；版權所有，轉載請註明出處。】