你需要如何回应“心脏出血”，你又该如何向别人解释

互联网崩溃了吗?根据一些人的说法，可能是这样。一个新发现的名为“心脏出血”的漏洞引起了人们的注意。每过一个小时，就会有更多的信息被披露出来。为了提供有用的见解，科技界——甚至主流媒体——充斥着故事。

这笔交易是什么?

有时候，在技术信息的洪流中很难找到需要做什么的确切感觉。挑战在于我们需要为我们的组织、我们自己采取什么行动，以及如何引导我们所服务的人。

与其重复别人做得好的事情，不如看看下面这些:

• 每个组织(现在)需要采取的五个步骤
• 每个人(包括我们)需要考虑的三个行动
• 洞察我们如何向他人解释(以及我们所拥有的机会)

利害关系是什么?

信任。

传输层安全(Transport Layer Security, TLS)被广泛用于传输过程中的信息加密和保护。Heartbleed漏洞允许攻击者访问内存，窃取存储的任何信息:用户名、密码、信用卡信息，甚至服务器的私钥。

受欢迎的漫画xkcd今天出色地解释了这个bug(请看这里))。

我们回应和沟通的方式对信任有直接影响。我们必须把这件事做好。

注意:为应对“心脏出血”，加拿大关闭了税收系统。加拿大的缴税截止日期是4月30日。这意味着他们在一年最忙的时候做了一个几乎不可能的决定。他们甚至在今天早上关闭了更多的站点/系统，并计划测试和验证这些元素。这是一个勇敢的旨在维持信任并确保人们不处于危险中的决策。

也许责任。

尤其是现在，美国监管机构已开始警告银行。他们甚至建议银行应该鼓励他们的客户更改密码(我听到了大家的抱怨——参见下面的建议)。

没有采取行动的组织有可能在未来承担责任。现在下结论还为时过早。负责任的操作是遵循下面的操作，并避免充当测试用例。

第一步:立即采取的五个行动

将此作为一个清单，以确保您的团队采取了这些行动。或者与你的主管分享，向他们展示你采取的步骤(以及原因)。然后用它来指导如何分解它，并向我们服务的人解释。

1.检查自己系统中的bug;这比web服务器更广泛

bug的细节影响了带有heartbeat扩展的TLS协议(因此命名为Heartbleed)。最初的报道和关注点是使用openSSL的Internet服务器的绝对数量和这个bug带来的巨大潜在风险。

这是两年前引入的，在很多情况下都很难检测到，我们需要假设，在大多数情况下，运行易受攻击版本的openSSL的任何系统或设备都可能已经被攻破。

最新的报告证实此错误影响了一系列商业和开源解决方案中的硬件和软件，包括路由器、虚拟服务器和流行的软件包，如Tor (https://blog.torproject.org/)。

预计将有更多的报告和更多的设备-包括目的建立的解决方案和工业控制系统将是下一个。

考虑网络、系统和解决方案中的元素。请注意，有时依赖于openSSL的元素并不总是明显的。有疑问时(有一点疑问是好的)，进行测试。当测试,检查相互联系的一个系统。

2.在可能的情况下。

大多数面向internet的服务器被设计为打补丁。而且大多数已经有了可用的补丁。然而，由于受影响的系统和设备的性质越来越严重，可能需要几天时间才能为某些设备和解决方案准备好补丁。这需要勤奋和耐心的结合

打补丁后，再次测试。

通常应用补丁时不需要重新启动机器和服务。在这种情况下，一些报告已经浮出水面，人们需要重新开始。关键是测试和验证应用补丁的成功。

在不可能进行修补的极少数情况下，召集团队进行评估和计划。如果你遇到了这些情况，寻求帮助。

3.撤销、重新颁发和重新安装SSL证书

这是关键(没有双关)。这也是很多人可能忽视的一个领域，或者更糟，跳过，因为他们认为自己没有受到影响。

“如果你不准备获得一个新的证书，你就错过了这个漏洞的重点，”杰森·索罗科解释说，他是恶意软件研究的负责人，托管公司是一家数据卡公司。

直到证书被撤销并重新发布，修复程序才会完成。

4.对情况进行评估

如果您捕获并保留了TLS日志，请花时间检查日志并寻找妥协的迹象。如果日志不可用，最低限度地评估人们是否/如何/为什么需要更改密码。确定哪些信息(如果有的话)可能被泄露或影响。

5.对员工、合作伙伴和消费者进行清晰、透明的沟通

清晰透明的沟通是信任的关键。在解释情况时，概述您采取的步骤，并确认您撤销和替换了证书。解释任何潜在的影响Ars Technica就是一个很好的公告的例子)。一个一个

我们已经看到了“是的，我们修补了”表面的迹象。问题是，这些消息无法让人相信它们撤消了旧的证书，并发出和安装了新的证书。

Jason Soroko解释说:“这次事件很有可能会导致假冒的电子邮件声称来自你的组织，把你的客户引向虚假的网站以获取证书。通过鼓励你的客户在你的交流中输入URL来帮助教育他们。至少，不要隐藏网址，这是一个钓鱼电子邮件的样子。”

合理的回应是什么?

这取决于组织的规模和流量的大小。大型、流量大的网站已经(或者应该)进行了更新。你可能属于那一类。使用这个检查表来确认和检查团队的行动。

较小的站点可能需要更长的时间来评估和采取行动。有些网站依赖于第三方和组织来维护他们的网站。让他们理解并遵循上述五个步骤是很重要的。根据工作负载和撤销和重新颁发证书的时间，可能需要几天或几周。

请记住，在所有情况下，审查合作伙伴和相互连接的系统是重要的。

个人行为:为了我们和我们服务的人

1.检查站点是否容易受到攻击

尽管这被广泛报道为可能影响三分之二的internet服务器，但一些站点并不依赖或使用openSSL。这些网站可能不会受到攻击。然而，大多数站点使用openSSL，要么需要修补，要么已经修补了。

一种方法是使用网站或浏览器插件运行测试(快速搜索2-3个流行选项)。此时，这些检查查看站点是否使用了打开的SSL(并打了补丁)，但不一定是重新颁发证书。

我选择不分享这些链接是因为在某些情况下，它们的使用可能被认为是非法的)。在不久的将来，我们将需要对此进行更多的探索。与此同时，查看大型/流行网站的另一种选择是查看由几家科技网站维护的更新网站的公开列表。

2.检查站点证书是否已更新

完整的修复需要撤消和重新颁发服务器证书。如果站点通过了更新补丁的检查，检查当前重新发布的证书(2014年4月7日以后)仍然很重要。

Soroko指出:“浏览器用户只需点击一两个按钮就可以获得SSL cert信息，但是查看证书日期并不能保证安全，因为用户不知道是否应用了正确的补丁。更重要的是依赖证书撤销和使用公开可用的漏洞检查。(如。https://www.ssllabs.com/ssltest/analyze.html?d=yahoo.com&hideResults=on)”

向技术不太精通的人解释这一点可能是一个挑战。理想情况下，有人开发一种自动方法来检查补丁*和*证书替换。(更新:看起来LassPass为他们的用户提供了这项检查。没有支持，但我希望其他人也这样做)。

与此同时，Soroko建议检查并确保证书撤销检查在你使用的任何浏览器中都是打开的

3.更改您的密码请参阅下面关于密码的建议

侦查冒充“心脏出血”的密码更改通知的钓鱼邮件。如果不确定，手动键入站点的URL。

请记住，如果您在多个站点之间共享或重用了密码(其中一个站点曾经或可能已经受到影响)，那么两个站点都需要更改。这是建立、管理和使用更好密码的好机会;每个站点都是独一无二的。

什么是合理的时间范围(个人行动)?

根据网站、用途和目的来确定优先级似乎是合理的。任何依赖或有财务信息的东西都有更高的优先级。

就我而言，我的密码管理器中存储了600多个密码。在接下来的几周内，随着网站应用补丁并重新颁发证书，我将慢慢地修改我的密码。

向别人解释心脏出血

当涉及到与他人交流时，“心脏出血”带来了一系列挑战。在评估和理解其影响的早期阶段，它引起了狂热的主流关注。它赋予了“如果流血，就会导致结果”这句话新的含义，哪怕只是因为它的名字

考虑到很多建议与我们的同事在过去20年里听到的相似这一现实。这意味着告诉人们“修改密码，避免点击链接，在互联网上要小心”，基本上很容易被屏蔽

好消息是，在我过去十年完成的每一次组织评估和分析中，内部安全团队都被视为值得信赖的信息来源。这意味着我们在这里有一些真正的机会。重新思考我们如何处理和提供指导。鉴于心脏出血的大肆宣传和报道，我们需要提供可靠的建议。

我们的同事和客户使用我们的资源，并且经常在其他网站上使用相同的凭证。解释的重要性不仅仅是建议他们更改密码为什么改变的时机很重要。

回顾一下我们如何解释TLS元素(https://)、如何检查浏览器中的证书(以及为什么需要)。分享为什么如果他们不确定网站是否安全，手动输入他们想要访问的URL(而不是简单地告诉他们)是有意义的。

邀请人们参与对话，并准备好以合理的方式回答问题;如果你不知道答案，主动告诉他们。如果做得好，这将导致更高层次的意识(参见定义)，朝着更牢固的关系和更安全意识的行动迈进一步。

我们需要探讨的对话和解决方案

当“心脏出血”告一缓时，我们需要集体退一步，重新评估这个行业的挑战和机遇。我们需要探索我们真正需要解决的挑战。

它可能意味着讨论:

• 网络上的信任和真实性
• 认证撤销
• 完善前向保密的作用和潜在需要
• 如果我们需要考虑推广更广泛采用双因素认证(虽然第一步是正确地进行基本身份验证，但请阅读这里的3个步骤)

同时，关注每个组织的五项行动和我们每个人需要采取的三个步骤。随着事态的发展，我们将继续寻找参与和推进对话的方式。

这个故事，“你需要如何回应心脏出血，以及你如何向别人解释它”最初发表于方案 。