当智慧脆弱性使头条新闻成为春天,互联网公司进入了一个狂热:创建修补程序,远离openssl,并警告用户重置密码。

但是,虽然我们最近没有听到它的消息 - 但许多服务器已经更新,以避免它 - Heartbleed仍然是一个问题。

问题是OpenSSL在一切中。

“这是一个基础设施黑客,它很深......它已经提出了我们在互联网上使用的一切,”Secure Element Chip Maker NXP认证产品的VP表示,“Sami Nassar说”。

他称之为SSL的死亡骑乐曲。虽然有些人会争辩说SSL很久以前已经过时,但它的使用仍然是普遍的。所以对纳萨尔的恐怖是什么,虽然很久以前的新闻周期结束了,但损害仍在蹂躏。

快速进修

OpenSSL是安全的加密协议的开源实现,可在Web上保护通信。它是您的浏览器可以使用的协议之一,每当您看到小“锁定”图标时,您可以使用服务器安全地通信。

Heartbleed是openssl中的漏洞,允许攻击者阅读服务器的内存,无论openssl为保护。因此,攻击者可以使用Heastbleed来查看您的用户名和密码以及聊天和电子邮件通信等。

被发现和命名的Codenomicon的David Chrier表示,漏洞表示,持续的风险部分是由于缺乏如何处理野外漏洞的程序。

“我认为很多人升级了[他们的服务器],但花了很长时间才升级和更新这些加密证书,”他说。

人们是否有可能过早改变密码?如果消费者在给定的服务或应用程序能够完全升级安全协议之前重置他们的密码,则密码更改无用。在新的加密证书到位之前,可以可以想象使用openssl以查看更新的密码。

很多空隙

图表说,这一点上的大多数服务器已经获得了保障,但很难知道差距所在。openssl不仅在服务器中使用 - 它到处都是。

“我们发现很多嵌入式设备和应用程序,这些设备和应用程序都易受伤心的应用程序,以至于人们无论出于何种原因都不知道,”Chartier说。

他的公司,Codenomicon,扫描企业网络和已知漏洞的应用程序。最近,Chartier向我展示了一个扫描,让我了解安全规模缺陷他定期遇到的内容。

扫描汽车软件公司揭示了53,000个漏洞,其中一个是openssl。(是的,OpenSSL在您的计算机中。)在大多数情况下,汽车制造商无法自动推出您的汽车。相反,他们必须拨打汽车所有者进入商店,让车辆手动更新。如果他们甚至知道软件内的漏洞,那就是这样。

为什么要关心

你可能会想,“那么?”汽车不存储敏感信息是真实的。

独自一人,一个智慧漏洞可能会泄露有关您的汽车位置和其他遥测的信息。但与其他漏洞的串联,Heartbleed变得更加令人惊慌。

“如果我是一个坏人,我[将]问我攻击的软件的构建块是什么,”图表说。Heartbley的错误可以给黑客概述您的计算机系统,因此他们可以搜索其他缺陷 - 可能会遥控控制您的车辆。

如果没有比黑客不得不想要瞄准你的汽车的其他原因,那场景就会比这是毫不想要的。所以让我们使用更有形的例子:您的办公室打印机。如果您有无线打印机,它可能连接到您的企业网络,并且可能使用OpenSSL安全。Heartbled漏洞可能会使攻击者访问打印机的用户名和密码以及发送到打印机的文档。同样,打印机可能尚未更新 - 因为没有人意识到它已经openssl。

可能的立法修复

软件建立在大量不同的代码上,一些专有和一些开源,但很少从头开始完全创建。通常,开发人员将使用公司中别人创建的代码,以避免冗余。但如果该代码暂时尚未更新,则可能会有漏洞。

这些漏洞难以点,因为软件没有统一的“营养”标签。但是,一项名为2014年网络供应链管理和透明度法案的新账单将需要软件制造商为软件中使用的所有代码组件提供一种材料。这样,当出现新的漏洞时,公司可以更轻松地了解他们是否需要采取行动以及如何。

这项法律是否解决了软件漏洞?不,但这是一个开始。