您现在的位置是:首页 >综合资讯 > 2021-05-02 19:30:26 来源:

我们做得足以对抗Heartbleed的缺陷吗

导读 公司是否做得足以应对 Heartbleed漏洞?一年后,一份报告称75%%的潜在受害者仍处于危险之中 - 但其他人对这一说法表示怀疑。 去年,在Op

公司是否做得足以应对 Heartbleed漏洞?一年后,一份报告称75%%的潜在受害者仍处于危险之中 - 但其他人对这一说法表示怀疑。 去年,在OpenSSL中发现了一个名为Heartbleed的关键错误,让攻击者可以窥探在线发送的数据 - 包括从密码到安全证书的所有内容。这个缺陷在代码中,没有固定两年。

我们做得足以对抗Heartbleed的缺陷吗

一年后,证书服务机构Venafi TrustNet宣称,全球前2,000家公司中有四分之三仍然容易受到这一漏洞的影响。

“为什么组织仍未完成全面整治?” 它的报告问道。“组织要么放弃正确更换密钥和证书,要么很可能没有掌握这种风险,或者没有足够的知识来了解如何完成修复。”

Venafi表示,许多用户正在申请新证书,但使用现有密钥时,他们应该要求全新的私钥。

报告补充说:“企业必须假设,就像他们对事件发生后的用户ID和密码一样,所有密钥和证书都会受到损害,而不仅仅是那些能够保护脆弱的Heartbleed系统的密钥和证书。”

然而,Errata Security的另一位安全专家罗伯特·格雷厄姆称,风险并不像Venafi所暗示的那么严重 - 并指出公司可以从证券的任何恐慌中受益,因为它“为这个问题出售解决方案”。

“只有一小部分系统首先容易受到Heartbleed的攻击,而且很难说实际需要更换哪些证书,” 格雷厄姆在一篇博文中解释道 。

“事实是这样的:大多数公司在他们的证书被盗之前修补了他们的系统,”他补充道。“对于那些获得证书被盗的人来说,他们的服务器不太可能被这些信息破坏。

“当然,一些用户帐户可能会遭到黑客 在星巴克做中间人的攻击 ,但服务器本身也是安全的。即使您更新了证书也没有做错,您可能没有处于危险之中。当然,有些你是,但你们大多数人都没有。“

开源支持

AVG的首席技术官Yuval Ben-Itzhak指出,Heartbleed不仅仅是更新证书。

在一篇博客文章中,他表示,从发现漏洞开始,网络看起来似乎不是一个更安全的地方,或者我们从巨大的网络缺陷中吸取了许多教训。

特别是,他呼吁为开源项目提供更多支持,并指出我们很多人都使用OpenSSL,但很少有人花时间或金钱来支持它。

“OpenSSL项目在发现漏洞时能够很好地发现并修复漏洞,但为了真正推动拨号以保护互联网安全,我们需要更多投资,”他说。“现在,全世界的在线安全手中只有少数编程人员在小团队中工作。这根本不会。”