Nieuws

Heartbleed-probleem vergroot door onnodig updaten

Beveiligingsonderzoekers geven de mediahype er de schuld van dat systeembeheerders duizenden onaangetaste servers per ongeluk hebben voorzien van de Heartbleed-bug, met onstabiele updates.

De zwakke plek in het versleutelingssysteem van OpenSSL heeft onbedoeld voor nog meer schade gezorgd doordat sommige beheerders systemen die niet kwetsbaar waren, toch hebben voorzien van een onstabiele update. De rekening om deze rotzooi weer op te ruimen is ongeveer 12 miljoen dollar.

Beveiligingsonderzoeker Yngve Nysæter Pettersen vindt dat systeembeheerders rustig en gefocust moeten blijven bij de ontdekking van een zwakke plek. In de weken na de onthulling van Heartbleed hebben veel systeembeheerders, waarschijnlijk onder de druk van "iets moeten doen", bijgedragen aan het probleem door ongeveer 2.500 webservers alsnog kwetsbaar te maken.

[related_article id=”161920″]

Twee redenen
Pettersen, die hier achterkwam tijdens zes internetscans die hij sinds 11 april uitvoerde, geeft aan dat dit om twee redenen slecht nieuws is. Na een onthulling is er een periode dat meer hackers gebruik proberen te maken van een zwakke plek. Daar kwam onder meer de belastingdienst van Canada achter.

Daarnaast ligt er nu een collectieve rekening van twaalf miljoen dollar om een probleem op te lossen dat er eigenlijk helemaal niet was. “Het is moeilijk precies vast te tellen hoe dit probleem is ontstaan, maar het kan komen door de vele aandacht die de media eraan hebben besteed. Dit kan ertoe geleid hebben dat beheerders dachten dat hun systeem niet goed beveiligd was”, schrijft Pettersen.

“Dit in combinatie met een administratieve druk en het gevoel om "iets te moeten doen", heeft waarschijnlijk geleid tot het upgraden van onaangetaste systemen tot een nieuwere, nog onstabiele versie, hoewel die misschien nog niet officieel was vrijgegeven”, vermoedt Pettersen.

Advies van Petterson
Systeembeheerders die zich schuldig hebben gemaakt aan het patchen van onaangetaste webservers kunnen het beste het advies van Pettersen opvolgen: voorzie het systeem van de juiste update, trek certificaten in en update ze, verander de wachtwoorden. In die volgorde.

Ondanks dat het af en toe misging blijkt uit een scan van de onderzoeker onder een half miljoen servers, dat de grote zorgen over de Heartbleed-bug toch een positieve uitwerking hebben gehad. Ongeveer 75 procent van de aangetaste servers heeft reeds een beveiligingsupdate gehad.

Afname kwetsbare servers
Het probleem dat nu ontstaat is dat het patchen en updaten van aangetaste servers nagenoeg tot stilstand is gekomen. De afgelopen twee weken is er bijna niks gebeurd. Volgens Pettersen is het aantal kwetsbare servers afgenomen van 5,36 procent op 11 april tot 2,33 procent deze week.

Hierbij dient opgemerkt te worden dat het percentage al tot 2,77 procent was afgenomen binnen twee weken na de eerste scan, wat betekent dat het updaten van kwetsbare servers nagenoeg volledig is gestopt.

Andere onderzoeker, zelfde conclusie
Beveiligingsonderzoeker Robert Graham van Errata Security voerde de afgelopen maand soortgelijke scans uit en komt tot dezelfde conclusies. Hij schat in dat er nog 318.239 kwetsbare systemen zijn tegenover 600.000 een maand geleden.

Een ander probleem waar sommige systeembeheerders volgens Pettersen erg makkelijk overheen stappen is het intrekken en updaten van certificaten. Hij schat in dat twee derde van de servers die een update ontvingen nog steeds gebruikmaakt van oude certificaten, die in zijn ogen een gevaar vormen.

Beveiligingbeveiligingbugheartbleednieuwsopenssl

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken