АНАЛИЗ НОВОСТЕЙ: Конфиденциальность, деньги и пропускная способность были все утрачены благодаря неточности Heartbleed. Полные последствия, пока еще, малоизвестны.
С того времени, как новость сперва показалась 7 апреля об уязвимости совокупности обеспечения безопасности Heartbleed, эксперты по ИТ во всем мире приложив все возможные усилия пробовали содержать ее влияние. Кризис Heartbleed будет, без сомнений, идти с ярлыком большой цены, в то время, когда последний счет будет забран для всего ущерба, это стало причиной.Недостаток Heartbleed есть технически уязвимостью совокупности обеспечения безопасности в OpenSSL с открытым исходным кодом криптографическая библиотека, которая снабжает возможности шифрования Уровня защищенных сокетов (SSL).
OpenSSL обширно развертывается на серверах Linux, мобильных устройствах и встроенных устройствах во всем мире и снабжает шифрование для данных в пути. Тогда как патчи были доступны для большинства наибольших платформ Linux с 8 апреля, кое-какие платформы все еще не были исправлены, включая Android 4.1 Гугл (Боб Желе) мобильная ОС.Не обращая внимания на то, что патчи были общедоступны в течение больше, чем семь дней для большинства серверных платформ, которая не свидетельствует, что все уязвимые серверы в мире и устройства, каковые смогут быть исправлены, были, практически, исправлены.
К примеру, сеть конфиденциальности Скалистой вершины теряет 12 процентов собственной сети на этой неделе благодаря серверов в ее сети, каковые не были обновлены для защиты от недостатка Heartbleed. Скалистая вершина есть сетью, составленной из многократных серверов ретрансляции, через каковые Интернет-трафик направляется в попытке постараться анонимизировать исходное расположение пользователя. Разработчики, трудящиеся с проектом Скалистой вершины, идентифицировали 380 уязвимых узлов 16 апреля, спустя больше чем семь дней по окончании того, как патчи для Heartbleed были сперва сделаны дешёвыми.Heartbleed стоил Скалистой вершине нетривиальной части собственной сети, и в более широком контексте, это стоило глобального интернет-сообщества намного больше.
Определение количества цены, которую Heartbleed причинил IT-совокупностям в мире и пользователям, не есть никакой несложной задачей. Поставщик безопасности облака CloudFlare постарался оценить часть цены.
Один нюанс недостатка Heartbleed – то, что сертификаты SSL должны быть отменены и после этого переизданы по окончании того, как сервер исправляет для неприятности. Учитывая, что перечни аннулирования сертификата SSL генерируют пропускную свойство для провайдера Центра сертификации (CA), Мэтью Принс CloudFlare CEO предположил в сообщении в блоге, что цена отмены сертификатов SSL через GlobalSign CA имела возможность понести затраты пропускной свойстве 400 000$. Это – всего один поставщик «облачных» ответов, трудящийся с одним Примерно
Неспециализированная подлинная цена Heartbleed планирует включать многократные факторы. Эти переменные должны будут включить в неспециализированную цена уравнения Heartbleed:
1. Человеческие ресурсы: Создание Патчей. Существует цена через все человеческий штат и различные проекты, вовлеченный, дабы практически создать и упаковать OpenSSL.2. Человеческие ресурсы: Реализация Патчей.
В том месте возможно цена, включенная в течение времени, требуемого частными компаниями и лицами для фактического исполнения требуемых исправлений.3. Человеческие ресурсы: Сканирование для Риска.
Не все организации подобающим образом знают о том, что трудится на их фирмах, и в том месте возможно цена времени штата, связанная со сканированием для серверов, каковые находятся в опасности.4. Человеческие ресурсы: Изменение Паролей. Изменение паролей и для администраторов сервера и для конечных пользователей есть долгим процессом.
5. Пропускная свойство Аннулирования сертификата. Как CloudFlare отметил, процесс отмены и после этого переиздания сертификатов SSL возможно интенсивным пропускной свойством, и это возможно дорогостоящим.6. Похищенные Эти. До сих пор единственная организация, которая публично сказала о ворующих данных в следствии Heartbleed, есть Канадским Агентством по Доходу, но больше таких отчетов, возможно, будет направляться.
Заберите все те вводы совместно для всех сотен миллионов конечных пользователей, каковые были затронуты, и у нас будет неспециализированная цена на Heartbleed.Для помещения фактического числа на него, учитывая некий исторический приоритет, я пологаю, что $500 миллионов являются хорошей начальной точкой.
Назад в 2001 eWEEK сказал, что расчетная цена очистки червя W.32 Nimda поразит $500 миллионов. Это было 13 лет назад; эта инфляция, цена Heartbleed могла быть намного выше, не смотря на то, что истина – то, что вычисления стоят, в целом сейчас являются более недорогими, чем они были в 2001 и намного более автоматизированы.Безотносительно последнего общего количества Heartbleed есть инцидентом безопасности, что не походит ни на кого другого в недавней памяти. Его потенциальное влияние обширно распространено, и имели возможность бы потребоваться семь дней, месяцы либо кроме того годы, пока последней подлинной стоимости ни при каких обстоятельствах не соответствуют.
Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.