Tre av fire blør ennå

[Computerworld]

Ett år etter at Heartbleed-feilen ble kjent, er 74 prosent fremdeles sårbare.

Tre av fire blør ennå

[007CD]

Ett stort problem er alle slike "Embedded" enheter som ligger rundt omkring som benyttes til styring av forskjellige småting, samt  en god del hjemmeroutere.

Men om det er noen trøst, så er det fortsatt en god del UPnP svakheter ute og går også.

[tommyb]

"Problemet er ufullstendig reparasjon av feilen."

 

"For å rette opp denne feilen fullstendig trenges mer omfattende tiltak enn det som er det vanlige for sikkerhetsfeil i programvare. Det holder ikke å bare oppdatere programvaren til en versjon der feilen er rettet, i tillegg må nye krypteringsnøkler og digitale sertifikater utstedes. Disse må erstatte de gamle nøklene og sertifikatene, som deretter må tilbakekalles for å hindre at de kan tas i bruk av uvedkommende som har stjålet dem som en følge av feilen."

 

Jeg kjenner på meg at jeg mener denne artikkelen/poenget er oppblåst. "Heldigvis" er dette formulert på en måte som gir meg et verbalt poeng. Feilen er rettet opp når man har patchet.

 

Problemet som er beskrevet er beskrivelsen av forsinket misbruk av stjålne sertifikatdata fra et vellykket angrep fra da feilen fortsatt lå upatchet.

 

Med mindre noen sitter på stjålede data for din server, er dette en ikke-sak.

[tommyb]

Ett stort problem er alle slike "Embedded" enheter som ligger rundt omkring som benyttes til styring av forskjellige småting, samt  en god del hjemmeroutere.

Men om det er noen trøst, så er det fortsatt en god del UPnP svakheter ute og går også.

 

Jeg mener også dette er et kjempeproblem. Men ikke hvis man sammenligner med hvilke "muligheter" for problem man kan få dersom det kommer en billion billige ikke-oppdaterte ikke-oppdaterbare IoT-enheter direkte på nett.

[007CD]

 

Jeg mener også dette er et kjempeproblem. Men ikke hvis man sammenligner med hvilke "muligheter" for problem man kan få dersom det kommer en billion billige ikke-oppdaterte ikke-oppdaterbare IoT-enheter direkte på nett.

 

 

IoT er ett sikkerhetsmareritt som kommer, embedded er ett sikkerhetsproblem vi har NÅ.

Så vi får begynne å få order på alle disse embedded greiene før vi noen sinne rører noe IoT opplegg, for med dagens system så blir det vanlig å høre at banken ble hacket via en lyspære eller lignende.

 

[VegardBe]

Med mindre noen sitter på stjålede data for din server, er dette en ikke-sak.

 

Så da er jo spørsmålet: Hvordan kan du være sikker på at noen ikke sitter på stjålne data fra din server? Hint: Det kan du ikke.

 

Forøvrig har OpenSSL blitt gjennomgått litt i etterkant av Heartbleed, og flere andre sårbarheter er avdekket. Det er nødvendig fra et sikkerhetsperspektiv å patche til siste versjon, ikke bare den som fikset Heartbleed.

[tommyb]

Nei, du kan ikke det. Men andelen som har tilfeldig matet ut sertifikater gjennom denne sårbarheten er helt åpenbart mye lavere enn "tre av fire". Saken er vinklet helt ut av proposjoner.

 

Artikkelen hevder at tre av fire ikke har lappet problemet. Det kan jeg ikke si meg enig i. Mange av disse tre av fire har også patchet til siste versjon, som du anbefaler. Tre av fire lever i uvisse om noen sitter på allerede stjålte data de kan bruke i framtiden. Det blir noe helt annet.

Endret 15. april 2015 av tommyb