你该如何回应“心出血”，又该如何向他人解释

网络坏了吗?根据一些人的说法，它可能是。一种新发现的名为“心脏出血”的病毒引起了人们的注意。随着时间的推移，更多的信息被揭示出来。由于渴望提供有用的见解，科技世界——甚至是主流媒体——都充斥着故事。

怎么回事？

有时很难从大量的技术信息中找到需要做什么。挑战在于我们需要为我们的组织和我们自己采取的行动，以及如何指导我们服务的人。

而不是重复其他人已经做得很好的，以下是:

• 每个组织(现在)需要采取的五个步骤
• 每个人（包括我们）需要考虑的三个行动
• 洞察我们如何向他人解释这一点（以及我们拥有的机会）

利害关系是什么?

信任。

传输层安全性（TLS）广泛用于加密和保护传输中的信息。Heartbleed漏洞允许攻击者访问内存，窃取存储的任何信息：用户名、密码、信用卡信息，甚至服务器的私钥。

受欢迎的漫画XKCD今天精彩地解释了这个漏洞(请看这里)）.

我们的反应和与人沟通的方式直接影响信任。我们必须把这件事做好。

注意:加拿大关闭了税收系统以应对“心脏出血”。加拿大的纳税截止日期是4月30日。这意味着他们在一年最忙的时候做了一个几乎不可能的决定。他们甚至在今天早上关闭了额外的站点/系统，并计划测试和验证这些元素。这是一个勇敢的旨在维持信任并确保人们不会面临风险的决策。

也许责任。

尤其是现在，美国监管机构已经开始警告银行。他们甚至建议银行应该鼓励他们的客户更改密码(我听到了集体的抱怨——见下面的想法)。

不采取行动的组织将来可能要承担责任。现在下结论还为时过早。负责任的操作是遵循下面的操作，避免充当测试用例。

第一步：立即采取的五项行动

将此作为检查表，以确保您的团队采取了这些行动。或者将其与您的主管分享，向他们展示您采取的步骤（以及为什么）。然后将其作为指导原则，说明如何将其分解并向我们服务的人员解释。

1.在你自己的系统中检查bug;这比网络服务器更广泛

bug的细节影响了TLS协议的心跳扩展(因此命名为Heartbleed)。最初的报道和重点是使用openSSL的互联网服务器的数量，以及这个漏洞带来的巨大潜在风险。

两年多前引入到代码中，并且有点难以检测（在许多情况下），我们需要假设在大多数情况下，运行易受攻击的openSSL版本的任何系统或设备都可能受到危害。

最新的报告证实，这个漏洞影响了一系列商业和开源解决方案的硬件和软件，包括路由器、虚拟服务器和Tor (https://blog.torproject.org/)等流行软件包。

预计将有更多关于更多设备的报告，包括下一步的专用解决方案和工业控制系统。

考虑您的网络、系统和解决方案中的元素。要认识到，有时依赖openSSL的元素并不总是显而易见的。当你有疑问的时候(有点疑问是好的)，测试。当测试,检查互联的A系统。

2.在可能的地方打补丁。

大多数面向internet的服务器都是为了打补丁而设计的。而且大多数已经有了可用的补丁。然而，由于受影响的系统和设备数量不断增加，可能需要几天时间才能为某些设备和解决方案准备好补丁。这需要勤奋和耐心的结合。一个

修补后，再次测试。

通常情况下，应用补丁不需要重新启动机器和服务。在这种情况下，一些报道已经浮出水面，人们需要重新开始。关键是测试和验证应用补丁的成功。

在极少数无法进行修补的情况下，召集团队进行评估和计划。如果遇到这些情况，请寻求帮助。

3.撤销、重新颁发和重新安装SSL证书

这是关键(没有双关）.这也是很多人可能会忽视的地方，或者更糟的是，因为他们认为自己没有受到影响而跳过。

“如果你不打算获得新的证书，你就错过了这个漏洞的意义，”杰森·索罗科解释说，他是委托数据卡公司恶意软件研究的负责人。

在证书被吊销并重新颁发之前，修复程序不会完成。

4.评估情况

如果您捕获并保存了TLS日志，请花时间查看日志并寻找妥协的迹象。如果日志不可用，请至少评估人们是否/如何/为什么需要更改密码。确定哪些其他信息（如果有）可能被泄露或影响。

5.与员工、合作伙伴和消费者进行清晰、透明的沟通

清晰透明的沟通是信任的关键。在解释这种情况时，请概述您所采取的步骤，并确认您已撤销和替换证书。解释任何潜在的影响。一个Ars Technica是一个优秀公告的例子（请阅读此处））.一个一个

我们已经看到了“是的，我们修补了”的迹象。问题是，这些信息未能激发人们的信心，即他们撤销了旧的证书，并颁发和安装了新的证书。

Jason Soroko解释说:“这次事件很有可能会导致声称来自你的组织的欺骗邮件，引导你的客户去虚假网站获取证书。通过鼓励客户实际输入URL，帮助他们在交流中学习。至少，不要隐藏URL，这是钓鱼邮件的样子。”

合理的回答是什么？

取决于组织的规模和您的流量大小。大型、流量大的网站已经更新（或应该更新）。您可能属于这一类别。使用此检查表确认和审查团队的行动。

较小的网站可能需要更长的时间来评估和行动。有些网站依赖第三方和组织来维护他们的网站。他们理解并遵循上述五个步骤是很重要的。根据工作负载和撤销和重新颁发证书的时间，可能需要几天或几周。

请记住，在所有情况下，审查合作伙伴和互联系统都很重要。

个人行为:为我们和我们服务的人

1.检查站点是否易受攻击

虽然这被广泛报道为可能影响三分之二的面向互联网的服务器，但一些网站并不依赖或使用openSSL。这些网站可能不会受到攻击。然而，大多数网站都使用openSSL，要么需要修补，要么已经修补了。

一种方法是使用网站或浏览器插件进行测试(快速搜索会发现2-3个流行选项)。此时，这些检查将查看站点是否使用(并打了补丁)打开的SSL，但不一定要查看是否重新颁发了证书。

我选择不分享链接是因为在某些情况下，它们的使用可能被视为非法（请阅读此处））.在不久的将来，我们需要进一步探索这个问题。与此同时，查看大型/流行网站的另一种选择是查看由几个技术网站维护的更新网站的公开列表。

2.检查站点证书是否已更新

完整的修复需要撤销和重新颁发服务器证书。如果站点通过了更新补丁的检查，检查当前重新发布的证书（2014年4月7日之后）仍然很重要。

Soroko指出:“浏览器用户只需要点击一两个按钮，就可以获得SSL证书信息，但只看证书日期并不能保证安全，因为用户无法知道是否应用了正确的补丁。更重要的是依赖证书撤销和使用公开可用的漏洞检查。(如。https://www.ssllabs.com/ssltest/analyze.html?d=yahoo.com&hideResults=on）"

向技术水平较低的人解释这一点可能是一个挑战。理想情况下，有人开发一种自动方法来检查修补程序*和*证书替换(更新：看起来LassPass为其用户提供了此检查。不支持，但我希望其他人也这样做）.

与此同时，Soroko建议检查并确保在您使用的任何浏览器中开启了证书撤销检查。一个

3.更改您的密码A请参阅下面关于密码的想法

侦察伪装成“心脏出血”密码更改通知的网络钓鱼邮件。如果不确定，请手动键入网站的URL。

请记住，如果您在多个站点上共享或重用了密码(其中一个已经或可能受到了影响)，那么两个站点都需要更改。这是建立、管理和使用更好的密码的好机会;每个网站都是独一无二的。

(个人行动的)合理时间范围是什么?

根据站点、用途和目的来划分优先级似乎是合理的。任何依赖于或与财务信息相关的信息都会得到更高的优先级。

在我的情况下，我有600多个密码存储在我的密码管理器。在接下来的几周内，随着网站应用补丁并重新颁发证书，我将慢慢地检查我的密码并做出修改。

向他人解释心出血

“心碎症”在与他人沟通时带来了一系列挑战。在评估和理解其影响的早期阶段，它引起了主流的狂热关注。它给短语赋予了新的含义，“如果它流血，它就会领先”，如果只是因为它的名字。一个

此外，现实是，很多建议与我们的同事在过去20年听到的类似。这意味着，仅仅告诉人们“更改密码，避免点击链接，在互联网上要小心”，基本上是很容易被忽略的噪音。一个

好消息是，在过去十年我完成的每一次组织评估和分析中，内部安全团队都被视为可靠的信息来源。这意味着我们在这里有一些真正的机会。要重新思考我们如何处理和提供指导。鉴于《心血》的宣传和报道，我们需要提供有针对性的，明智的建议。

我们的同事和客户使用我们的资源，并且经常在其他网站上使用相同的凭证。比建议他们改密码更重要的是解释为什么改变的时机很重要．

回顾我们如何解释TLS的元素(https://)，如何检查来自浏览器的证书(以及为什么需要这样做)。分享为什么如果他们不确定网站是否安全，那么手动输入他们想访问的URL是有意义的(而不是简单地告诉他们)。

邀请人们参与对话，并准备好以合理的方式回答问题；如果你不知道答案，请主动回复他们。如果做得好，这将导致更高级别的意识（见定义），并朝着更牢固的关系和更安全的行动迈出一步。

我们需要探讨的对话和解决方案

当“心脏出血”结束时，我们需要集体退一步，重新评估行业的挑战和机遇。我们需要探索我们真正需要解决的挑战。

它可能意味着讨论:

• 互联网上的信任和真实性
• 认证撤销
• 实施完美前向保密的作用和潜在需求
• 如果我们需要考虑促进更广泛采用双因素认证尽管第一步是正确地获得基本身份验证—请阅读下面的3个步骤）

同时，专注于每个组织的五个行动和我们每个人都需要采取的三个步骤。随着事态的发展，我们将继续寻找参与和推进对话的方法。

这个故事，“你该如何回应心脏出血，以及你该如何向他人解释”最初是由方案 ．