BEDRIFTSTEKNOLOGI

Hver tredje Unix-ansvarlig blåser i sikkerheten

En undersøkelse av Slapper-ormen og sårbarheten i OpenSSL, tyder på at hver tredje Unix-ansvarlige blåser i sikkerheten.

20. nov. 2002 - 12:34


Slashdot.org

Les også

Den amerikanske sikkerhetseksperten Eric Rescorla, kjent blant annet for Secure-HTTP og SecureWeb Toolkit, fant straks sårbarheten ble kjent, at han ville undersøke hvordan systemansvarlige reagerte på det som åpenbart var en svært alvorlig sikkerhetsbrist. Han fant fram til 890 vilkårlig valgte servere som kjørte OpenSSL, og som han med noen timers mellomrom undersøkte over en periode på over sytti døgn for å se om de hadde installert en eller annen fiks mot OpenSSL-hullet.

Denne grafen viser hva Rescorla fant: I løpet av den første uken hadde 23 prosent sørget for å beskytte serverne sine. Fire uker seinere hadde beskyttelsestakten stanset på en terskelverdi der rundt 60 prosent av serverne fortsatt var sårbare. Spredningen av Slapper utløste en ny oppgraderingsbølge, som dabbet av etter fire uker på en ny terskelverdi, der 32 prosent av serverne fortsatt var sårbare.


I rapporten Security Holes.. Who cares? trekker Rescorla de åpenbare konklusjonene: Systemadministratorer er svært trege med å oppgradere selv nødvendige fikser til programvare som de har installert nettopp for å sikre sine servere. OpenSSL brukes i hovedsak i Unix-systemer. Man kunne forvente et høyere bevissthetsnivå i sikkerhetsspørsmål hos dem enn hos Windows-ansvarlige, men så synes ikke å være tilfellet.

En refleksjon Rescorla overlater til leseren, er likheten mellom vanlige brukeres holdning til virus, og systemadministratorers holdning til serverormer. I begge tilfeller synes det å være en vesentlig andel som ikke bryr seg om sikkerhet overhodet, og som sørger for en jevn flom av smitte.

Antakelig er det fortsatt noen tusen webservere med Slapper-ormen, som bare venter på et signal fra sitt opphav for å slå til med et stort anlagt distribuert tjenestenektangrep.

Men det bryr hver tredje Unix-ansvarlig seg ikke om.


Si din mening
Mener du at programvareleverandører skal gjøres juridisk ansvarlig for skader ved datainnbrudd begått gjennom sårbarheter i deres produkter?

Ja
Nei
Vet ikke

Trykk her for å se resultatet så langt
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra