本文為作者 Tom Simonite 發表在 TechnologyReview 網站上的《Many Devices Will Never Be Patched to Fix Heartbleed Bug》一文，主要通過講述 OpenSSL 漏洞一事提起了許多聯網設備因為缺乏必要的安全管理和軟件更新，可能永遠都無法修復這一安全漏洞，看似不會造成威海，但卻存在非常高的安全風險。

　　本周最受關注的安全問題莫過于 OpenSSL“心臟出血”漏洞，這一漏洞將影響超過 2/3 網站，幾乎所有的網民都需要認識到這個問題的嚴重性，必須要更新自己的網絡賬號密碼。但是許多存在這一漏洞的系統并不在公眾視線范圍之類，它們也許永遠都不會被修復。

　　此次“出血”的漏洞來自 OpenSSL 協議，這一協議廣泛存在于家庭、辦公室和企業連接互聯網的軟件中。這一漏洞將在網絡硬件、家庭自動化系統以及關鍵產業控制系統中繼續存在多年，因為這些系統的更新頻率非常低。

　　聯 網設備一般都會運行這一個簡單的網頁服務器，它可以讓管理員進入網絡控制面板。在多數情況下，這些服務器通過 OpenSSL 協議保證安全，但是安全軟件公司 Lieberman Software 主席 Philip Lieberman 說，這些軟件需要更新。但是許多企業并不會將漏洞更新看作是一件優先級很高的事情。“設備制造商不會為絕大多數設備提供漏洞補丁，有很大數量的補丁需要用 戶自己去更新。”

　　Lieberman 說，電視機頂盒和家用路由器將成為最受影響的設備，“ISP 商的網絡上現在有百萬臺有漏洞的設備。”

　　“心 臟出血”漏洞也將影響許多企業的安全。許多企業級的網絡設施、產業和商業自動化系統都依賴 OpenSSL，這些設備幾乎不會更新。此前有人曾經在網上發起大規模的網絡地址掃描，發現了幾十萬個這樣的設備存在各種各樣的已知安全漏洞，它們涵蓋了 IT 設備、交通控制系統，這些系統的漏洞都沒有被修復，更不要說 OpenSSL 的漏洞。

　　STEALTHbits Technologies 公司策略與調查官 Jonathan Sander 認為，“不像那些有 IT 人員看管的大型服務器，這些存在 OpenSSL 漏洞的聯網設備不會引起 IT 人員的注意。OpenSSL 協議就像是一臺有缺陷的發動機一樣，被安在了所有的汽車、摩托車上。”

　　很難估計到底有多少聯網設備存在“心臟出血”漏洞，因為 OpenSSL 協議已經存在了很多年。安全公司 Rapid7 的安全調查員 Mark Schloesser 說：“所有在 2011 年 12 月到漏洞被爆出這段時間內使用的 OpenSSL 協議版本都存在這一漏洞。”

　　另一個未知的問題就是，人們還不知道黑客利用“心臟出血”漏洞可以獲取多少數據。Schloesser 說，不同的系統可以獲取的數據不同。以雅虎的服務器為例，黑客利用“心臟出血”漏洞可以獲得用戶的密碼，而其他企業網站泄露的信息就沒有雅虎泄露的有價值。

　　他還說，“有很多人正嘗試用這一漏洞來進行大范圍的網絡入侵。”他指出自從漏洞爆出之后，網頁服務器的登陸日志上能看出活躍度明顯增加，有很多人都嘗試發現存在安全隱患的系統，網絡上也有腳本用來檢測網站的漏洞。

　　Sander 說，許多但一目的的設備，比如說聯網調溫器，雖然不包含有價值的信息，但卻可以讓黑客有足夠的全力去登陸并控制它，而且只需要一點數據就可以發現使用這個調溫器的家庭里是否有人。