Gisteren kwam een Amerikaans bedrijf met een bericht in de media dat de Heartbleed-bug nog steeds bij veel bedrijven een probleem zou zijn, maar een beveiligingsexpert stelt dat de meeste organisaties allang beschermd zijn en geen risico meer lopen. In een rapport (pdf) beweert het bedrijf Venafi dat 75% van de systemen bij grote ondernemingen nog steeds kwetsbaar is.

Volgens beveiligingsexpert Robert Graham van Errata Security is het probleem echter niet het ontbreken van patches voor Heartbleed, maar mogelijk gecompromitteerde certificaten. De systemen zijn namelijk allang gepatcht, maar het kan zijn dat aanvallers de privésleutel van het certificaat van een kwetsbare webserver hebben gestolen. Heartbleed betreft een kwetsbaarheid in OpenSSL, waardoor een aanvaller informatie uit het geheugen van een webserver kon stelen, waaronder de privésleutel die voor het SSL-certificaat wordt gebruikt. Het probleem is dan ook dat in theorie de privésleutels zijn gestolen nadat de patches pas werden geïnstalleerd.

De oplossing zou in dit geval zijn om het certificaat te vervangen, iets waar Venafi een oplossing voor aanbiedt. "Wat het rapport eigenlijk zegt is dat 75% hun certificaten niet goed heeft geüpdatet", merkt Graham op. De expert stelt dat deze stelling echter niet nauwkeurig is. Slechts een klein percentage van de systemen was kwetsbaar voor Heartbleed en daarvan is lastig te zeggen welke certificaten moeten worden vervangen. Daarom staat het rapport van Venafi vol met "marketingtaal", gaat Graham verder. "Er staat niet 3 van 4 van alle systemen, maar alleen van die kwetsbaar waren (een minderheid)."

Ook zegt het rapport niet dat deze systemen nog steeds kwetsbaar voor Heartbleed zijn, maar dat ze alleen vanwege eventueel gestolen certificaten risico op een "data breach" lopen. Volgens Graham is het een feit dat de meeste bedrijven hun systemen hebben gepatcht voordat er certificaten zijn gestolen. En zelfs in het geval van gestolen certificaten zou die informatie waarschijnlijk onvoldoende zijn om toegang tot de servers te krijgen. Al met al hekelt de expert dan ook het rapport, dat hij als "vol met FUD" wegzet.