包含Heartbleed bug的修补联网系统已经放缓蜗牛的速度,和安全专家建议公司采取额外的预防措施,避免安全隐患。
勘误表安全扫描互联网周五晚些时候,发现大约309000个网站的错误,在安全套接字层(SSL)的OpenSSL库项目。这一数字只有9000不到勘误表发现一个月前。
Hearbleed发现4月时,勘误表在端口443上发现了600000多脆弱的系统,这是默认情况下用于ssl安全客户端和服务器之间的通信。
”这表明人们已经停止甚至试图修补,”罗伯特•格雷厄姆勘误表安全研究员说,星期六在该公司的博客。“我们应该认为未来十年缓慢减少旧系统正在慢慢取代。”
这是这些网站的用户来说是个坏消息。Heartbleed错误可以让攻击者访问网站的一些最敏感的信息,包括加密密钥和用户的用户名和密码。
修补的放缓和不固定的专家系统没有惊喜,谁说剩下的服务器可能属于小型企业或网站不能部署修复的成本。
约百万SSL证书错误的影响,这意味着他们最终不得不被取消,然后更换,SecureState高级顾问罗伯特·米勒说。
“这是需要时间和一些小型公司可能没有钱,”米勒说。与此同时,“风险仍很高。”
勘误表没有脆弱的网站的域名列表,没有列出的联系人打电话给域。
接触他们“会导致更多的问题会解决,”罗伯特•格雷厄姆为公司安全研究人员说,在评论部分的勘误表博客。
然而,这并不是另一个网站的情况un1c0rn.net,“独角兽”。The site is selling information on sites it found with the Heartbleed bug.
WhiteHat Security副总裁罗伯特·汉森先进技术集团估计,大约有75000个网站un1c0rn.net上列出。汉森在网站上提供了详细信息正直善良的好公民博客。
“谁使用这些网站是脆弱的,只要攻击者的信息,”汉森告诉CSOonline。“任何人都不应该使用任何网站的独角兽。”
公司应该使用一个免费的扫描工具提供的供应商来检查自己的服务器和,如果可能的话,他们知道员工的网站使用,专家说。
企业还需要联系合作网站和云服务提供商,以确保他们不容易被攻击者利用Heartbleed,米勒说。
“组织需要问这些问题,”他说。
杨晨巴西,FireMon首席技术官,相信绝大多数网站发现的勘误表可能很小,而且没有太多的企业使用。
然而,公司应该让用户修改网站的危害,提醒他们不要使用用户名和密码来访问公司网络上其他网站。
“你不能执行他们所做的事情在公司外部,但你至少可以教育他们的影响是什么,”巴西说。“最终用户教育始终是一个好建议。”
这个故事,“为什么你应该还担心Heartbleed”最初发表的方案 。