Systeembeheerders installeren Heartbleed op servers
Hoewel er nog altijd duizenden servers kwetsbaar voor de Heartbleed-bug in OpenSSL zijn, blijkt dat sommige servers die eerst niet kwetsbaar waren dat nu wel zijn doordat systeembeheerders een kwetsbare versie van OpenSSL hebben geïnstalleerd.
Tot die opmerkelijke ontdekking kwam Opera-ontwikkelaar Yngve Pettersen. Pettersen voerde een scan van 500.000 verschillende servers uit en ontdekte dat er nog 2,33% kwetsbaar voor de Heartbleed-bug zijn. Via deze bug kan een aanvaller de inhoud van het geheugen stelen, waarin bijvoorbeeld wachtwoorden en sessiecookies zijn te vinden, en in bepaalde gevallen ook de privésleutels van SSL-certificaten.
Systeembeheerders
Tijdens de laatste scan zag Pettersen dat 20% van de servers die op dit moment kwetsbaar zijn, en 32% van de kwetsbare BigIP-servers, dat eerst niet waren. "Dit houdt in dat duizenden websites die het Heartbleed-probleem eerst niet hadden, dat nu wel hebben!", zo stelt de Opera-ontwikkelaar. Een mogelijke reden is dat vanwege alle media-aandacht bezorgde systeembeheerders dachten dat hun systeem kwetsbaar was.
Dit gecombineerd met de druk dat er "iets" gedaan moest worden, heeft ervoor gezorgd dat de systeembeheerders op servers die niet kwetsbaar waren een OpenSSL-versie installeerden waarin de Heartbleed-bug juist wel aanwezig was. Hierdoor zullen deze servers en de websites die erop draaien weer gepatcht moeten worden, wat geld kost dat eigenlijk bespaard had kunnen worden.
Aan de hand van zijn eigen cijfers maakt Pettersen een grove berekening die laat zien dat het onnodige patchwerk meer dan 12 miljoen dollar kan kosten. Alle media-aandacht is dan ook tot op zekere hoogte contraproductief geworden, gaat Pettersen verder. Hij adviseert de pers dan ook om zich op de feiten te baseren en geen paniek te verspreiden.
Dan heb je als systeembeheerder toch een complete boterberg op je hoofd!
Maar @Anoniem:
Hebben ze nu ook een melkplas en een wijzee op hun hoofd??
En wat als die systeembeheerders allerijl een update-commando voor het OpenSSL-pakket hebben ingegeven voordat hun distributie de SSL-versie had bijgewerkt? Als ze eerst flink achterliepen kan het zijn dat ze daardoor eerst niet kwetsbaar waren, en nu dus wel.
Dat betekent, cru gezegd, dat ze erg achterliepen en bovendien zichzelf slecht hadden geinformeerd, en daarmaast blindelings vertrouwen op hun pakketsysteem. Dat is wel amateuristisch natuurlijk :)
Welke Linux-distributie is er nog niet geupdate én is pas vatbaar geworden nadat Heartbleed bekend werd? Je kan mij niet wijs maken dat ineens alle Gentoo en FreeBSD-liefhebbers massaal een exploitable versie van OpenSSL hebben geïnstalleerd.
Als een verhaal te sterk is om waar te zijn... is dat meestal ook zo.
Welke Linux-distributie is er nog niet geupdate én is pas vatbaar geworden nadat Heartbleed bekend werd? Je kan mij niet wijs maken dat ineens alle Gentoo en FreeBSD-liefhebbers massaal een exploitable versie van OpenSSL hebben geïnstalleerd.
Als een verhaal te sterk is om waar te zijn... is dat meestal ook zo.
Of je denkt zelf niet goed na. Wat er gebeurd is: er kwam een hoop nieuws naar buiten over dit probleem. Op dat
moment was er nog lang niet voor alle systemen een update. Maar er waren wel oudere updates voor OpenSSL die
er waren om andere problemen te fixen (dit pakket zit boordevol problemen en er komen regelmatig updates voor uit!)
maar waar de update voor dit probleem nog niet in zat.
Beheerders die gedacht hebben "ik doe maar eens een update" en die een OpenSSL update binnen zagen komen die
hebben wellicht gedacht het probleem getackled te hebben, terwijl ze in werkelijkheid juist een update installeeerden
die het probleem aanbracht. En die update kan best heel recent zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.