Hoewel er nog altijd duizenden servers kwetsbaar voor de Heartbleed-bug in OpenSSL zijn, blijkt dat sommige servers die eerst niet kwetsbaar waren dat nu wel zijn doordat systeembeheerders een kwetsbare versie van OpenSSL hebben geïnstalleerd.
Tot die opmerkelijke ontdekking kwam Opera-ontwikkelaar Yngve Pettersen. Pettersen voerde een scan van 500.000 verschillende servers uit en ontdekte dat er nog 2,33% kwetsbaar voor de Heartbleed-bug zijn. Via deze bug kan een aanvaller de inhoud van het geheugen stelen, waarin bijvoorbeeld wachtwoorden en sessiecookies zijn te vinden, en in bepaalde gevallen ook de privésleutels van SSL-certificaten.
Tijdens de laatste scan zag Pettersen dat 20% van de servers die op dit moment kwetsbaar zijn, en 32% van de kwetsbare BigIP-servers, dat eerst niet waren. "Dit houdt in dat duizenden websites die het Heartbleed-probleem eerst niet hadden, dat nu wel hebben!", zo stelt de Opera-ontwikkelaar. Een mogelijke reden is dat vanwege alle media-aandacht bezorgde systeembeheerders dachten dat hun systeem kwetsbaar was.
Dit gecombineerd met de druk dat er "iets" gedaan moest worden, heeft ervoor gezorgd dat de systeembeheerders op servers die niet kwetsbaar waren een OpenSSL-versie installeerden waarin de Heartbleed-bug juist wel aanwezig was. Hierdoor zullen deze servers en de websites die erop draaien weer gepatcht moeten worden, wat geld kost dat eigenlijk bespaard had kunnen worden.
Aan de hand van zijn eigen cijfers maakt Pettersen een grove berekening die laat zien dat het onnodige patchwerk meer dan 12 miljoen dollar kan kosten. Alle media-aandacht is dan ook tot op zekere hoogte contraproductief geworden, gaat Pettersen verder. Hij adviseert de pers dan ook om zich op de feiten te baseren en geen paniek te verspreiden.
Deze posting is gelocked. Reageren is niet meer mogelijk.