30. juli i år sendte de ansvarlige for et populært sikkerhetsprodukt i åpen kildekode, OpenSSL, ut en advarsel om at det var flere sårbarheter i programvaren. Noen av hullene ble beskrevet som kritiske, siden de kunne brukes av uvedkommende til å oppnå kontroll over serveren som kjørte programvaren, og benyttes i distribuerte tjenestenektangrep ("DoS-angrep").
Åpen-kildekode-fellesskapet og leverandører av systemer med integrert OpenSSL anstrengte seg til det ytterste for at det i løpet av de første timene etter kunngjøringen, ble sendt ut fikser og veiledning, slik at systemadministratorer kunne beskytte seg mot eventuell misbruk. OpenSSL er blant annet integrert i Apaches webserver, verdens mest utbredte. Da sårbarheten ble publisert på Slashdot.org fire timer etter den første kunngjøringen, var en fiks tilgjengelig for praktisk talt alle brukerne.
13. september ble det registrert de første tilfellene av en orm som seinere ble kjent som "Slapper". Denne ormen bruker OpenSSL-sårbarheten til å infisere Linux-drevne servere, og det ble straks klart at å rette Slapper-varianter mot Unix-systemer var heller trivielt. Tre dager seinere ble det klart at Slapper hadde infisert minst 6000 maskiner, og at bredt anlagte distribuerte tjenestenektangrep kunne være i emning.
Les også
Den amerikanske sikkerhetseksperten Eric Rescorla, kjent blant annet for Secure-HTTP og SecureWeb Toolkit, fant straks sårbarheten ble kjent, at han ville undersøke hvordan systemansvarlige reagerte på det som åpenbart var en svært alvorlig sikkerhetsbrist. Han fant fram til 890 vilkårlig valgte servere som kjørte OpenSSL, og som han med noen timers mellomrom undersøkte over en periode på over sytti døgn for å se om de hadde installert en eller annen fiks mot OpenSSL-hullet.
Denne grafen viser hva Rescorla fant: I løpet av den første uken hadde 23 prosent sørget for å beskytte serverne sine. Fire uker seinere hadde beskyttelsestakten stanset på en terskelverdi der rundt 60 prosent av serverne fortsatt var sårbare. Spredningen av Slapper utløste en ny oppgraderingsbølge, som dabbet av etter fire uker på en ny terskelverdi, der 32 prosent av serverne fortsatt var sårbare.
I rapporten Security Holes.. Who cares? trekker Rescorla de åpenbare konklusjonene: Systemadministratorer er svært trege med å oppgradere selv nødvendige fikser til programvare som de har installert nettopp for å sikre sine servere. OpenSSL brukes i hovedsak i Unix-systemer. Man kunne forvente et høyere bevissthetsnivå i sikkerhetsspørsmål hos dem enn hos Windows-ansvarlige, men så synes ikke å være tilfellet.
En refleksjon Rescorla overlater til leseren, er likheten mellom vanlige brukeres holdning til virus, og systemadministratorers holdning til serverormer. I begge tilfeller synes det å være en vesentlig andel som ikke bryr seg om sikkerhet overhodet, og som sørger for en jevn flom av smitte.
Antakelig er det fortsatt noen tusen webservere med Slapper-ormen, som bare venter på et signal fra sitt opphav for å slå til med et stort anlagt distribuert tjenestenektangrep.
Men det bryr hver tredje Unix-ansvarlig seg ikke om.
| Si din mening |
