300.000 har fått varig heartbleed

Folk har sluttet å patche serverne sine, ifølge sikkerhetsekspert.

Nyheten om at det svært utbredte krypteringsbiblioteket OpenSSL hadde en ekstremt alvorlig sårbarhet slo ned som en bombe før påske.

Serveradministratorer verden over kastet seg rundt og oppdaterte systemer berørt av den såkalte Heartbleed-feilen, men så stoppet det opp.

Snart to måneder senere viser en skanning at drøyt 300.000 servere fortsatt er utstyrt med en sårbar versjon av OpenSSL. For disse ser hjerteblødningen ut til å ha blitt en varig diagnose.

Det var i helgen at Robert Graham i Errata Security skrev om det nedslående funnet. Antallet sårbare maskiner de fant er på samme nivå som da de sjekket sist for en måned siden.

– Dette indikerer at folk ikke engang forsøker å patche serverne sine lenger. Vi kan forvente en svak nedgang i utbredelsen av Heartbleed-installasjoner det neste tiåret, men selv ti år fram i tid regner jeg med å finne tusener av sårbare systemer, inkludert kritiske systemer, skriver Graham.

Undersøkelsen er utført ved enkel skanning av maskiner som svarer på SSL-handshake over port 443 over internett. Den faktiske utbredelsen av Heartbleed kan følgelig være, og er antakelig større fordi IT-sikkerhetselskapet ikke har sjekket andre porter.

Sårbarheten Heartbleed fikk sitt navn etter at det ble avdekket en kritisk programmeringsfeil i Heartbeat-modulen til OpenSSL. Ingen annen programmeringsfeil har fått mer oppmerksomhet i moderne tid, og sårbarheten har sågar fått sin egen logo.

Det er en kjensgjerning at nettet har mange nettjenester som er satt opp én gang, for siden å aldri bli rørt av en systemadministrator. OpenSSL kan være implementert både som programvare som lett kan byttes ut på server, med det krever naturligvis at ressursen ikke er forlatt. Videre er det klart at sårbarheten også rammer nettutstyr som en rekke rutere, svitsjer og brannmurer, som i verste fall må skrotes.

Heartbleed ble innført i OpenSSL versjon 1.0.1 utgitt i mars 2012, og skal følgelig ha vært til stede i mer enn to år før sårbarheten ble fjernet med feilfiksen i versjon 1.0.1g, som kom den 7. april 2014.

    Les også:

Til toppen