Heartbleed,这CVE-2014-0160OpenSSL威胁威胁到互联网的可怕大型条件的通信安全性,几乎不会更糟。但是。我认为,在线安全的机制或个人和公司处理情况的方式不太可能刺激真实和持久的变化。
考虑到“心脏出血”缺陷的严重性以及由此引发的公众关注,这似乎有些令人惊讶。毕竟:
这BUG估计了估计的三分之二网站的安全性S,允许黑客潜在地访问从用户名和密码的个人信息SSL私钥。
它还妥协各种各样的网络装备从思科和杜松等行业领导者,修复的选项很少。
已经报告了黑帽黑客和在线犯罪分子是准备找到从缺陷中获利的方法,在一个观察者呼叫中“金匆匆“在关闭之前利用开口。
这意味着与大多数安全漏洞不同,Heartbleed的公共启示实际确实使我们比我们之前的更容易受到攻击 - 至少直到各处都安装了修补程序 - 以及所有可能暴露的密码都更改。
更糟糕的是,如果可能的话,那么国家安全管理局(NSA)不得不否认收费它知道并利用这个漏洞已经很多年了。
在最近的恶意软件问题和公司违规之上,您认为像Heartbleed一样的大量问题将是最后一个稻草,最后强制个人,网站和IT商店更认真地承担安全。
嗯,这是一个不太可能发生的两个原因。
理由1:如上所述,Heartbleed远非第一个严重的互联网安全问题来捕捉媒体的注意力。一些早期的马裤和恶意软件丑闻也很糟糕,但他们没有重大改变大多数互联网用户的行为。太多IT组织仍然不够认真地承担安全性,并且对我来说并不清楚,有多嗡嗡作响。
理由2:Heartbled揭示了一个巨大的安全漏洞,漏洞尚未与现实世界的后果相连。在CSO的Antone Gonsalves问:uotes简易解决方案的首席技术官丹尼尔Ingevaldson表示,由Pastebin上发现的错误,修补或未受到Pastebin中发现的错误的10,000个域名的列表,为Bad Guys寻找抓取密码和其他关键信息的糟糕。但即使这些清单最终转向身份盗窃和其他罪行中,也很难将它们束缚在困境中。
这是事情。来自个人到大型企业的小企业甚至政府的每个人都继续表现出忽视在线安全问题的令人惊讶的能力。除非在人们经历真正的损失时(或者看到他们所知道的人),否则他们倾向于将在线安全视为一种抽象危险,远离他们更多的日常担忧和恐惧。
在某些方面,这是一件好事 - 谁想要被围住的互联网?但是,认为它不会发生在未来只是因为你没有看到它尚未见过它尚未成为辩护策略。
所以我希望我错了。我希望Heartbleed能够通过说服更多的人和组织改变他们保护在线活动和服务的方式来做一些有益的事情。
我对此并不乐观。什么时候我看到尼尔降级泰森最近说话,他随便开玩笑说“惯性是宇宙中最强大的力量。”谈到在线安全时,我认为他可能是对的。