Til tross for at mye programvare kan installere nye oppdateringer mer eller mindre automatisk, er det overraskende mange som bruker ikke-oppdatert programvare. Eller mer presist – de lar være å oppdatere den, i alle fall innen relativt kort tid.
Cisco kom i går med selskapet årlige sikkerhetsrapport, og der trekkes det fram flere observasjoner som tyder på at verken organisasjoner eller brukere prioriterer å installere sikkerhetsoppdateringer i noen særlig grad.
I rapporten vises det til en undersøkelse Cisco har gjort blant 1738 personer med ansvar for IT-sikkerheten i sin bedrift. 90 prosent av disse har oppgitt at de har tillit til bedriftens sikkerhetspolicyer, -prosesser og -prosedyrer. Likevel har 54 prosent vært nødt til å møte offentlig granskning som følge av sikkerhetsbrudd.
Bare 4 av 10
I en oversikt over hvilke sikkerhetstiltak de intervjuede forteller at deres virksomhet benytter, oppgir rundt 60 prosent at de bruker brannmur, inntrengningsvern og andre verktøy og tiltak for nettverkssikkerhet. Men under 40 prosent oppgir at «patching og konfigurasjon» er blant tiltakene i deres virksomheten. Dette er så lavt at man nesten skulle tro at mange av de sikkerhetsansvarlige har misforstått spørsmålet. Men Cisco skriver i sin oppsummering:
«60 prosent av respondentene i Cisco Security Benchmark-undersøkelse svarer at de ikke patcher programvare.»
Cisco gjengir helt konkrete tall som demonstrerer dette. Det ene er en sammenligning av hvor mange av brukerne av henholdsvis Internet Explorer og Chrome som bruker den aller nyeste versjonen av nettleseren, altså den hvor alle sikkerhetsfikser er inkludert.
Internet Explorer
Tallet for Internet Explorer er skremmende, dersom det stemmer. For ifølge Cisco er det bare ti prosent av IE-brukerne som til enhver tid bruker den nyeste versjonen. Tilsvarende tall for Chrome er 64 prosent. Tallene er hentet fra besøkslogger, men Cisco har i liten grad oppgitt detaljer rundt disse tallene.
I et forsøk på å forklare forskjellen, skriver Cisco at det kan skyldes at det automatiserte oppdateringssystemet til Chrome er mer vellykket i å sikre at flest mulig benytter siste versjon. Men det hevdes også at Chrome-brukere er mer teknisk dyktige enn IE-brukere og at det dermed er mer sannsynlig at disse oppdaterer programvaren sin.
OpenSSL
Det andre tilfellet som trekkes fram, gjelder OpenSSL. I april i fjor fikk sårbarheten som kalles for HeartBleed særdeles mye oppmerksomhet. Men fortsatt konkluderer Cisco Security Research-team med at 56 prosent av alle enheter med OpenSSL benytter en versjon som er mer enn 50 måneder gammel.
HeartBleed-sårbarheten gjør det mulig for alle på internett å lese minnet til systemer som beskyttet av OpenSSL. Dette gjør det mulig for angripere å få tilgang til nøkler som kan brukes til både å identifisere tjenesteleverandører og å kryptere trafikken. Ved hjelp av nøklene kan angriperne deretter avlytte trafikken. I etterkant av oppdagelsen i fjor vår ble svært mange oppfordret til å bytte passordene i tjenester de benytter. I hvilken grad oppfordringene ble fulgt, er ukjent. Men det hadde ingen hensikt å bytte passord før tjenesten ikke bare hadde fått oppdatert OpenSSL, men også byttet sikkerhetssertifikatet.
I oktober i fjor konkluderte Nasjonal sikkerhetsmyndighet med at norske virksomheter i svært liten grad benytter OpenSSL-utgaver hvor HeartBleed er tilstede.
Etter at HeartBleed ble kjent, har en rekke andre sårbarheter blitt fjernet fra OpenSSL. Det i seg selv burde være god nok grunn til å oppdatere denne sikkerhetskomponenten.
Les også:
- [30.10.2014] Slapp med skrekken etter Heartbleed
- [08.04.2014] Ekstremt alvorlig sårbarhet i OpenSSL
