Egy éve óriási vihart kavart egy sérülékenység, amit az OpenSSL-ben fedeztek fel. Az akkor már óvatos becslések szerint is legalább két éve létező biztonsági rés nem csak a webszervereket tette védtelenné, hanem hálózati eszközöket, alkalmazásokat, sőt a mobil eszközöket is.

Egy év elteltével a Venafi nevű amerikai biztonsági cég megvizsgálta, mi a Heartbleed-helyzet a Forbes Global 2000-es listáján szereplő vállalatok körében. Nem sok jót tapsztaltak.

Szinte mindent érintett

Nem a titkosítási eljárásokkal volt probléma, hanem egy programhiba okozta a felfordulást. A TLS (Transport Layer Security) heartbeat kiegészítésében volt egy olyan bug, ami olyan memóriakezelési rendellenességeket idézhet elő, hogy speciálisan szerkesztett hálózati csomagokkal hozzá lehessen férni egy szerver vagy eszköz memóriájához, hogy onnan 64 kilobájtos blokkokban adatok szivárogtassanak ki.

Mint azt akkor a Bitport is megírta, a hibát gyorsan javították, ám kiterjedtsége miatt ezek a javítások igencsak lassan terjedtek. Tavaly nyár közepén egy vizsgálat azt derítette ki, hogy az érintettek egy része gyorsan reagált, ám aztán mintha mindenki elfeledkezett volna arról, hogy létezik a probléma.

A felejtés éve volt

A Venafi tavaly augusztusban is lefutattott egy vizsgálatot a Forbes Global 2000-es listájának cégeire. Akkor azt tapasztalták, hogy a világ legnagyobb globális szervezeteinek körében elképesztően magas arányban maradtak sérülékeny rendszerek. A listán szereplő cégek 76 százalékánál (!) találták meg a sérülékenységet vagy hiányos kármentesítésre utaló jeleket. Mint írják, akkor arra számítottak, hogy ebben a körben rohamosan fog csökkenni a sérülékeny rendszerek száma.

Ehhez képest egy most lefolytatott vizsgálat szerint mindössze 2 százalékuknál javították a hibát: a kétezer szervezet háromnegyede (74 százalék) továbbra is sérülékeny. A Venafi nincs egyedül a véleményével: a cikket jegyző Gavin Hill igazgató hivatkozik többek között a Marylandi Egyetem eredményeire is, amely szintén a sérülékenyen hagyott rendszerek magas arányát mutatta ki.

Nem a javítás hozott javulást

Sokkal érdekesebb azonban az, hogy minek tulajdonítható ez a minimális javulás. A Venafi szerint ugyanis közel sem annak, hogy a szervezetek felismerték: végre kell valamit kezdeni a Heartbleeddel. Hanem egyszerűen annak, hogy a vizsgált időszakban nagyon sok tanúsítvány lejárt, és annak cseréje során cserélték a privát SSL kulcsokat is. Pedig arra több szakértő is felhívta a figyelmet – hangsúlyozta Gavin Hill –, hogy ezeket a lehető leggyorsabban és teljes körűen cserélni kellene a védelem megerősítéséhez.

Mindezek alapján nagyon úgy tűnik, a szervezetek nem fogták fel, hogy mennyire súlyos is a helyzet. Vagy talán a szervezetek vezetői nem látják át, hogy akár egy kompromittált privát kulcs is az egész rendszer vesztét okozhatja. Pedig vannak figyelmeztető jelek. A Venafi elvégeztetett egy felmérést a Ponemon Institute-tal, amelyből kiderült, hogy az elmúlt két évben a megkérdezett vállalati körben minden válaszadónál volt legalább egy incidens, ami tanúsítványokhoz köthető.

És ez csak a kezdet, figyelmeztet Gavin Hill. Az Intel Security már kimutatta az SSL-alapú hálózati támadások növekedését, a Gartner pedig egyenesen azt jósolja, hogy 2017-ig a hálózati támadásoknak legalább a fele SSL/TSL-re épül majd.