Heartbleed虫子继续给人们带来风险

作者:哈卡

<p>Heartbleed漏洞揭晓已经差不多三个月了,还需要修复数千台计算机服务器本周澳大利亚政府的Stay Smart Online计划指向安全专家Robert Graham的研究,他在Heartbleed漏洞发生后确定了600,000个易受攻击的服务器他说,截至6月底,仍有300,000台服务器仍处于暴露状态</p><p>管理复杂IT基础设施中的安全问题,就像管理农场中的害虫一样令人难以置信如果及时处理问题,问题就会最小化但如果忽视这些问题,问题就会越来越严重2014年4月Heartbleed漏洞首次暴露时,相当于一只昆虫瘟疫抵达世界IT系统管理员的围场.Hostbleed漏洞是OpenSSL中的一个编程错误世界上很大一部分互联网软件使用的安全库世界上许多IT基础设施容易受到网络犯罪分子的攻击保持系统安全需要系统管理员不仅需要更新软件,还需要获得新的“主密钥”来重建企业电子身份在许多情况下,他们还必须要求用户更改密码处理Heartbleed的全球成本可能已达到数亿美元2014年6月确定了同一软件中的第二轮问题,再次需要供应商和系统管理员采取相当大的补救措施几个月后来自Heartbleed的大多数易受互联网访问的系统都受到保护,但并非全部安全</p><p>例如,许多较旧的Android智能手机都有固件版本(411),其中包含易受攻击的代码保护这些手机需要固件供应商修补提供的用于修复错误的版本,或更新到较新版本的Android同时利用该错误智能手机比服务器硬得多,它仍然可能因此,应该更新易受攻击的手机以保护他们在发现问题后不久可以向智能手机制造商提供Google更新,但制造商必须将Google的修复程序应用于每个特定的固件他们受影响的型号,并测试固定版本即便如此,许多手机的更新都没有提供给消费者,因为手机通常与运营商的定制固件一起销售澳大利亚的主要运营商 - Telstra,Optus和Vodafone - 在手机中提供定制固件从他们的零售店开始,每个运营商都必须打包并测试每个易受攻击的手机型号的定制版本的更新</p><p>鉴于每个运营商的资源相对有限,这样的测试,这个过程花了很长时间就不足为奇了</p><p>直到6月16日,沃达丰澳大利亚公司才为一款型号HT提供固定固件C One X运营此Android版本的其他运营商和其他手机可能仍然存在漏洞Android手机的用户应该考虑从Google Play商店下载免费的Lookout Heartbleed Detector以查看Android更新的慢速展示所示的问题是具体示例软件供应商和系统管理员在处理安全漏洞时遇到的各种问题修复软件中的问题通常很容易在多个受影响的系统中部署修复程序,并进行测试以确保修复程序不会产生额外的问题问题,是真正的工作所在,特别是当安全更新与可能产生副作用的其他无关修复程序捆绑在一起时,在澳大利亚计算机应急响应小组(AusCERT)工作的信息安全分析师Marco Ostini表示这会导致“漏洞减轻”疲劳“许多系统上没有部署修复程序系统和软件包未被更新的是“孤儿” - 也就是说,没有人负责保持更新以防止安全问题运行易受攻击的Android版本411的电话实际上是孤儿设备的例子,因为大多数供应商已经停止为他们提供更新由于安全风险的规模,Heartbleed是一个例外 IT孤儿服务器通常由较小的组织运营,或者较大的组织中较小的部门,缺乏维护其服务器的专业知识</p><p>他们可能正在运行旧的,不受支持的软件,但仍继续执行一些有用但通常相对较小的任务</p><p>一个常见的例子是工程环境中的计算机,例如工厂,使用特定于供应商的软件来控制一些昂贵,有价值但老化的设备如果供应商已经停止支持该软件,则可能无法修复它即使该软件是开放的来源个人客户通常不具备自己执行修复的专业知识但有时孤儿服务器只是疲惫的系统管理员所谓的“脆弱性缓解疲劳”的结果,维护服务器,特别是运行旧的和相对不寻常的软件,大量的工作和奖励往往不明确它,很容易简单地说,“如果它,”唔打破了,不要修理它,不幸的是,IT安全并没有这样做,除了特定系统丢失数据的风险之外,更广泛的公司网络中的服务器受损,可能会在隐喻范围内留下空白因此,管理IT基础架构需要保持警惕,以确保即使是低调的系统得到保护,并进行精心设计,以减少单个系统受到危害的后果即使特定系统的妥协对组织的影响不大,它们仍然是一个安全和匿名的电子避风港,网络犯罪分子可以从中进一步破坏在农场类比中,它们相当于疏忽的邻居,杂草出没的围场互联网已成为我们全球社会的重要组成部分,但它是容易受到犯罪活动的影响,因而Heartbleed的持续后果会增加这种脆弱性这就是我们需要帝力的原因那些开发和管理IT系统的人不仅可以保护他们自己的小补丁,....

上一篇 : 尼克罗利
下一篇 : 伊恩麦格雷戈