Zagrożenie błędem Heartbleed wciąż bardzo realne

Eksperci zalecają firmom podjęcie dodatkowych środków bezpieczeństwa, aby uniknąć zagrożeń, które spowodowała luka Heartbleed.

Naprawianie systemów podłączonych do Internetu, które zawierają lukę OpenSSL Heartbleed, wyraźnie straciło swój impet. Specjaliści ds. bezpieczeństwa wciąż przypominają, że warto pamiętać o tym zagrożeniu, aby uniknąć naruszenia bezpieczeństwa firmowych systemów IT.

Firma Errata Security wykonała badania kontrolne Internetu 20 czerwca 2014 roku i znalazła około 309 tysięcy stron z błędem typu Heartbleed, występującego w Secure Socket Layer (SSL), biblioteki Open SSL. Liczba ta była mniejsza jedynie o 9 tysięcy przypadków zarejestrowanych podczas identycznych badań przeprowadzonych w maju 2014 roku.

Zobacz również:

  • Biały Dom chce wzmocnić kontrolę nad sztuczną inteligencją

Kiedy odkryto Heartbleed w kwietniu 2014 roku, Errata Security znalazła ponad 600 tysięcy wrażliwych systemów wykorzystujących port 443, który jest używany domyślnie dla zabezpieczania komunikacji między klientami a serwerami przy wykorzystaniu protokołu SSL.

„Wyniki analiz pokazują, że firmy w praktyce przestały aktualizować swoje systemy pod kątem zabezpieczeń przed tym zagrożeniem” pisze na firmowym blogu Robert Graham, analityk z Errata Security. „ A powolny spadek zagrożenia powinniśmy zaobserwować dopiero w następnej dekadzie, kiedy to stare systemy zabezpieczeń zostaną masowo zastąpione przez nowe” – dodaje.

To zła nowina dla użytkowników wchodzących na nie zabezpieczone strony. Luka Heartbleed może pozwolić atakującemu na dostęp do poufnych informacji na stronie, w tym do kluczy szyfrowania oraz nazw użytkowników i ich haseł.

Wyraźne, statystyczne zmniejszenie tempa „łatania” tego błędu, a także liczba wciąż nie zaktualizowanych systemów bynajmniej nie zaskoczyła ekspertów, którzy twierdzą, że większość z tych podatnych na atak serwerów należy najprawdopodobniej do małych firm, które nie mogą sobie pozwolić na wdrożenie dość kosztownych procesów ich naprawy.

Około pół miliona certyfikatów SSL zostało dotkniętych błędem Heartbleed, co oznacza, że muszą zostać cofnięte, a następnie zastąpione przez nowe. Robert Miller z SecureState twierdzi, że zajmie to dużo czasu. A problemem jest głównie to, że niektóre małe firmy nie chcą lub nie są w stanie ponieść kosztów związanych z takimi działaniami. Dlatego ryzyko związane z błędem Heartbleed jest wciąż bardzo wysokie.

Firma Errata nie ujawnia listy stron dotkniętych błędem Heartbleed. Jak twierdzi Robert Graham, spowodowało by to więcej szkody niż pożytku. Zapewne pisząc to na firmowym blogu miał też na myśli biznes związany z działalnością stron typu un1c0rn.net, za pośrednictwem których można kupić informacje o stronach, w których wykryty został błąd typu Heartbleed.

Z kolei Robert Hansen, wiceprezes WhiteHat Security szacuje, że na listach sprzedawanych przez un1c0rn.net znajduje się około 75 tysięcy stron internetowych. „Każdy, kto korzysta z tych witryn jest narażony na zagrożenie” alarmuje Robert Hansen, ”dlatego nikt nie powinien korzystać ze stron prezentowanych na unicorn”.

Firmy mogą skorzystać z bezpłatnych narzędzi do skanowania, udostępnianych przez niektórych producentów oprogramowania, aby sprawdzić swoje serwery, a jeśli to możliwe, zweryfikować także strony z których korzystają ich pracownicy.

Przedsiębiorcy powinni także kontaktować się z witrynami partnerskimi oraz z dostawcami usług chmurowych w celu upewnienia się, że ich serwery webowe nie są narażone na ataki z wykorzystaniem Heartbleed, twierdzi Robert Miller.

Z kolei Jody Brazil, dyrektor ds. technologii w FireMon, uważa, że zdecydowana większość stron znalezionych przez Errata to małe i rzadko odwiedzane strony, które nie są wykorzystywane przez zdecydowaną większość firm i ich pracowników.

Jednak mimo to firmy powinny uświadamiać pracowników o zagrożeniach i przypominać im jakie są zasady bezpiecznego korzystania z internetu. „Nie można kontrolować tego co ludzie robią poza pracą, ale można przynajmniej uświadomić im ich wpływ na stan bezpieczeństwa. A edukacji użytkowników nigdy nie jest za dużo” podkreśla Jody Brazil.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200