«Heartbleed»: - Feilfiks holder ikke

97 prosent er fortsatt sårbare, advarer sikkerhetsselskap.

Det er ikke nok å oppdatere OpenSSL til en ikke-sårbar versjon. Samtlige sertifikater og krypteringsnøkler må også byttes ut, advarer Venafi Labs.
Det er ikke nok å oppdatere OpenSSL til en ikke-sårbar versjon. Samtlige sertifikater og krypteringsnøkler må også byttes ut, advarer Venafi Labs. Bilde: Heartbleed.com, .hj barraza/Flickr (CC BY-SA 2.0) og digi.no
30. juli 2014 - 11:16

Det er ikke tilstrekkelig å oppdatere OpenSSL til en versjon som ikke berørt av den svært kritiske Heartbleed-feilen i kryptobibliotektet.

For å være fullt ut beskyttet mot sårbarheten er det nødvendig å også endre de private krypteringsnøklene, sørge for å utstede nye SSL-sertifikater og ikke minst trekke tilbake de gamle.

Det er det svært få som har gjort, advarer det amerikanske IT-sikkerhetsselskapet Venafi.

De har undersøkt hvor mange av verdens 2 000 største bedrifter som har tatt nødvendige forholdsregler etter den ekstremt alvorlige sårbarheten ble oppdaget i april.

Resultatet er ytterst nedslående.

Bare 3 prosent av selskapenes webservere har sørget for å rotere SSL-sertifikatene sine. Det betyr at 97 prosent ikke bør kjenne seg trygge, ifølge den ferske rapporten (pdf).

Det hører med til saken at de bare har undersøkt webservere som er tilgjengelig over internett. Situasjonen er trolig verre for interne systemer på innsiden av virksomheters brannmurer, som nok i mindre grad også er patchet.

Allerede i den 8. april da digi.no for første gang omtalte Heartbleed-feilen gjorde vi det klart at samtlige sikkerhetsnøkler må erstattes.

– IT-avdelingene har misforstått hvis de tror de er beskyttet mot Heartbleed bare ved å installere en programvareoppdatering. Hvis noen tar seg inn i huset ditt gjennom en åpen dør og sjeler husnøklene dine - så kan du ikke lenger stole på den samme låsen. Virksomheter må derfor finne og erstatte alle sine sikkerhetsnøkler og sertifikater - samtlige, skriver Venafi Labs i en pressemelding.

Heartbleed ble innført i OpenSSL versjon 1.0.1 utgitt i mars 2012, og var dermed del av det svært utbredte kryptobiblioteket i mer enn to år. Sårbarheten ble endelig fjernet med feilfiksen i versjon 1.0.1g, som utkom den 7. april 2014.

Sårbarheten fikk sitt navn etter at det ble avdekket en kritisk programmeringsfeil i den såkalte Heartbeat-modulen til OpenSSL. Ingen annen programmeringsfeil har fått mer oppmerksomhet i moderne tid, og sårbarheten har sågar fått sin egen logo.

[via The Register]

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.