我们做得足以对抗Heartbleed的缺陷吗

公司是否做得足以应对 Heartbleed漏洞?一年后，一份报告称75%%的潜在受害者仍处于危险之中 - 但其他人对这一说法表示怀疑。 去年，在OpenSSL中发现了一个名为Heartbleed的关键错误，让攻击者可以窥探在线发送的数据 - 包括从密码到安全证书的所有内容。这个缺陷在代码中，没有固定两年。

一年后，证书服务机构Venafi TrustNet宣称，全球前2,000家公司中有四分之三仍然容易受到这一漏洞的影响。

“为什么组织仍未完成全面整治?” 它的报告问道。“组织要么放弃正确更换密钥和证书，要么很可能没有掌握这种风险，或者没有足够的知识来了解如何完成修复。”

Venafi表示，许多用户正在申请新证书，但使用现有密钥时，他们应该要求全新的私钥。

报告补充说：“企业必须假设，就像他们对事件发生后的用户ID和密码一样，所有密钥和证书都会受到损害，而不仅仅是那些能够保护脆弱的Heartbleed系统的密钥和证书。”

然而，Errata Security的另一位安全专家罗伯特·格雷厄姆称，风险并不像Venafi所暗示的那么严重 - 并指出公司可以从证券的任何恐慌中受益，因为它“为这个问题出售解决方案”。

“只有一小部分系统首先容易受到Heartbleed的攻击，而且很难说实际需要更换哪些证书，” 格雷厄姆在一篇博文中解释道 。

“事实是这样的：大多数公司在他们的证书被盗之前修补了他们的系统，”他补充道。“对于那些获得证书被盗的人来说，他们的服务器不太可能被这些信息破坏。

“当然，一些用户帐户可能会遭到黑客 在星巴克做中间人的攻击 ，但服务器本身也是安全的。即使您更新了证书也没有做错，您可能没有处于危险之中。当然，有些你是，但你们大多数人都没有。“

开源支持

AVG的首席技术官Yuval Ben-Itzhak指出，Heartbleed不仅仅是更新证书。

在一篇博客文章中，他表示，从发现漏洞开始，网络看起来似乎不是一个更安全的地方，或者我们从巨大的网络缺陷中吸取了许多教训。

特别是，他呼吁为开源项目提供更多支持，并指出我们很多人都使用OpenSSL，但很少有人花时间或金钱来支持它。

“OpenSSL项目在发现漏洞时能够很好地发现并修复漏洞，但为了真正推动拨号以保护互联网安全，我们需要更多投资，”他说。“现在，全世界的在线安全手中只有少数编程人员在小团队中工作。这根本不会。”