Systeembeheerders installeren Heartbleed op servers
Hoewel er nog altijd duizenden servers kwetsbaar voor de Heartbleed-bug in OpenSSL zijn, blijkt dat sommige servers die eerst niet kwetsbaar waren dat nu wel zijn doordat systeembeheerders een kwetsbare versie van OpenSSL hebben geïnstalleerd.
Tot die opmerkelijke ontdekking kwam Opera-ontwikkelaar Yngve Pettersen. Pettersen voerde een scan van 500.000 verschillende servers uit en ontdekte dat er nog 2,33% kwetsbaar voor de Heartbleed-bug zijn. Via deze bug kan een aanvaller de inhoud van het geheugen stelen, waarin bijvoorbeeld wachtwoorden en sessiecookies zijn te vinden, en in bepaalde gevallen ook de privésleutels van SSL-certificaten.
Systeembeheerders
Tijdens de laatste scan zag Pettersen dat 20% van de servers die op dit moment kwetsbaar zijn, en 32% van de kwetsbare BigIP-servers, dat eerst niet waren. "Dit houdt in dat duizenden websites die het Heartbleed-probleem eerst niet hadden, dat nu wel hebben!", zo stelt de Opera-ontwikkelaar. Een mogelijke reden is dat vanwege alle media-aandacht bezorgde systeembeheerders dachten dat hun systeem kwetsbaar was.
Dit gecombineerd met de druk dat er "iets" gedaan moest worden, heeft ervoor gezorgd dat de systeembeheerders op servers die niet kwetsbaar waren een OpenSSL-versie installeerden waarin de Heartbleed-bug juist wel aanwezig was. Hierdoor zullen deze servers en de websites die erop draaien weer gepatcht moeten worden, wat geld kost dat eigenlijk bespaard had kunnen worden.
Aan de hand van zijn eigen cijfers maakt Pettersen een grove berekening die laat zien dat het onnodige patchwerk meer dan 12 miljoen dollar kan kosten. Alle media-aandacht is dan ook tot op zekere hoogte contraproductief geworden, gaat Pettersen verder. Hij adviseert de pers dan ook om zich op de feiten te baseren en geen paniek te verspreiden.
Dan heb je als systeembeheerder toch een complete boterberg op je hoofd!
Maar @Anoniem:
Hebben ze nu ook een melkplas en een wijzee op hun hoofd??
En wat als die systeembeheerders allerijl een update-commando voor het OpenSSL-pakket hebben ingegeven voordat hun distributie de SSL-versie had bijgewerkt? Als ze eerst flink achterliepen kan het zijn dat ze daardoor eerst niet kwetsbaar waren, en nu dus wel.
Dat betekent, cru gezegd, dat ze erg achterliepen en bovendien zichzelf slecht hadden geinformeerd, en daarmaast blindelings vertrouwen op hun pakketsysteem. Dat is wel amateuristisch natuurlijk :)
Welke Linux-distributie is er nog niet geupdate én is pas vatbaar geworden nadat Heartbleed bekend werd? Je kan mij niet wijs maken dat ineens alle Gentoo en FreeBSD-liefhebbers massaal een exploitable versie van OpenSSL hebben geïnstalleerd.
Als een verhaal te sterk is om waar te zijn... is dat meestal ook zo.
Welke Linux-distributie is er nog niet geupdate én is pas vatbaar geworden nadat Heartbleed bekend werd? Je kan mij niet wijs maken dat ineens alle Gentoo en FreeBSD-liefhebbers massaal een exploitable versie van OpenSSL hebben geïnstalleerd.
Als een verhaal te sterk is om waar te zijn... is dat meestal ook zo.
Of je denkt zelf niet goed na. Wat er gebeurd is: er kwam een hoop nieuws naar buiten over dit probleem. Op dat
moment was er nog lang niet voor alle systemen een update. Maar er waren wel oudere updates voor OpenSSL die
er waren om andere problemen te fixen (dit pakket zit boordevol problemen en er komen regelmatig updates voor uit!)
maar waar de update voor dit probleem nog niet in zat.
Beheerders die gedacht hebben "ik doe maar eens een update" en die een OpenSSL update binnen zagen komen die
hebben wellicht gedacht het probleem getackled te hebben, terwijl ze in werkelijkheid juist een update installeeerden
die het probleem aanbracht. En die update kan best heel recent zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
