我們做得足以對抗Heartbleed的缺陷嗎

公司是否做得足以應對 Heartbleed漏洞?一年后，一份報告稱75%%的潛在受害者仍處于危險之中 - 但其他人對這一說法表示懷疑。 去年，在OpenSSL中發現了一個名為Heartbleed的關鍵錯誤，讓攻擊者可以窺探在線發送的數據 - 包括從密碼到安全證書的所有內容。這個缺陷在代碼中，沒有固定兩年。

一年后，證書服務機構Venafi TrustNet宣稱，全球前2,000家公司中有四分之三仍然容易受到這一漏洞的影響。

“為什么組織仍未完成全面整治?” 它的報告問道。“組織要么放棄正確更換密鑰和證書，要么很可能沒有掌握這種風險，或者沒有足夠的知識來了解如何完成修復。”

Venafi表示，許多用戶正在申請新證書，但使用現有密鑰時，他們應該要求全新的私鑰。

報告補充說：“企業必須假設，就像他們對事件發生后的用戶ID和密碼一樣，所有密鑰和證書都會受到損害，而不僅僅是那些能夠保護脆弱的Heartbleed系統的密鑰和證書。”

然而，Errata Security的另一位安全專家羅伯特·格雷厄姆稱，風險并不像Venafi所暗示的那么嚴重 - 并指出公司可以從證券的任何恐慌中受益，因為它“為這個問題出售解決方案”。

“只有一小部分系統首先容易受到Heartbleed的攻擊，而且很難說實際需要更換哪些證書，” 格雷厄姆在一篇博文中解釋道 。

“事實是這樣的：大多數公司在他們的證書被盜之前修補了他們的系統，”他補充道。“對于那些獲得證書被盜的人來說，他們的服務器不太可能被這些信息破壞。

“當然，一些用戶帳戶可能會遭到黑客 在星巴克做中間人的攻擊 ，但服務器本身也是安全的。即使您更新了證書也沒有做錯，您可能沒有處于危險之中。當然，有些你是，但你們大多數人都沒有。“

開源支持

AVG的首席技術官Yuval Ben-Itzhak指出，Heartbleed不僅僅是更新證書。

在一篇博客文章中，他表示，從發現漏洞開始，網絡看起來似乎不是一個更安全的地方，或者我們從巨大的網絡缺陷中吸取了許多教訓。

特別是，他呼吁為開源項目提供更多支持，并指出我們很多人都使用OpenSSL，但很少有人花時間或金錢來支持它。

“OpenSSL項目在發現漏洞時能夠很好地發現并修復漏洞，但為了真正推動撥號以保護互聯網安全，我們需要更多投資，”他說。“現在，全世界的在線安全手中只有少數編程人員在小團隊中工作。這根本不會。”