Det er ikke tilstrekkelig å oppdatere OpenSSL til en versjon som ikke berørt av den svært kritiske Heartbleed-feilen i kryptobibliotektet.
For å være fullt ut beskyttet mot sårbarheten er det nødvendig å også endre de private krypteringsnøklene, sørge for å utstede nye SSL-sertifikater og ikke minst trekke tilbake de gamle.
Det er det svært få som har gjort, advarer det amerikanske IT-sikkerhetsselskapet Venafi.
De har undersøkt hvor mange av verdens 2 000 største bedrifter som har tatt nødvendige forholdsregler etter den ekstremt alvorlige sårbarheten ble oppdaget i april.
Resultatet er ytterst nedslående.
Bare 3 prosent av selskapenes webservere har sørget for å rotere SSL-sertifikatene sine. Det betyr at 97 prosent ikke bør kjenne seg trygge, ifølge den ferske rapporten (pdf).
Det hører med til saken at de bare har undersøkt webservere som er tilgjengelig over internett. Situasjonen er trolig verre for interne systemer på innsiden av virksomheters brannmurer, som nok i mindre grad også er patchet.
Allerede i den 8. april da digi.no for første gang omtalte Heartbleed-feilen gjorde vi det klart at samtlige sikkerhetsnøkler må erstattes.
– IT-avdelingene har misforstått hvis de tror de er beskyttet mot Heartbleed bare ved å installere en programvareoppdatering. Hvis noen tar seg inn i huset ditt gjennom en åpen dør og sjeler husnøklene dine - så kan du ikke lenger stole på den samme låsen. Virksomheter må derfor finne og erstatte alle sine sikkerhetsnøkler og sertifikater - samtlige, skriver Venafi Labs i en pressemelding.
Heartbleed ble innført i OpenSSL versjon 1.0.1 utgitt i mars 2012, og var dermed del av det svært utbredte kryptobiblioteket i mer enn to år. Sårbarheten ble endelig fjernet med feilfiksen i versjon 1.0.1g, som utkom den 7. april 2014.
Sårbarheten fikk sitt navn etter at det ble avdekket en kritisk programmeringsfeil i den såkalte Heartbeat-modulen til OpenSSL. Ingen annen programmeringsfeil har fått mer oppmerksomhet i moderne tid, og sårbarheten har sågar fått sin egen logo.
[via The Register]
Les også:
- [12.11.2014] Egen SSL-sårbarhet i Windows
- [30.10.2014] Slapp med skrekken etter Heartbleed
- [15.10.2014] Har funnet enda en SSL-sårbarhet
- [23.06.2014] 300.000 har fått varig heartbleed
- [06.06.2014] «Ny», alvorlig sårbarhet rammer OpenSSL
- [09.05.2014] Mange oppdaterer til Heartbleed
- [25.04.2014] Slik skal neste «Heartbleed» stoppes
- [15.04.2014] Nettsikkerhet på dugnad?
- [12.04.2014] – NSA har utnyttet Heartbleed
- [11.04.2014] – Heartbleed var et hendelig uhell
- [11.04.2014] Heartbleed også i nettutstyr
- [08.04.2014] Ekstremt alvorlig sårbarhet i OpenSSL
