Amikor áprilisban kiderült, hogy súlyos hibát találtak az OpenSSL-ben, még a csapból is Heartbleed folyt. A memóriakezelési rendellenességek okozta biztonsági rés azt tette lehetővé, hogy jogosulatlanok is hozzáférhessenek speciálisan szerkesztett hálózati csomagok révén a szerverek vagy eszközök memóriájához. A sebezhetőség azonban nem csak az SSL-t támogató webszervereket érintette, a hálózati eszközöket, a mobil eszközöket, de védelmi alkalmazásokat és egyéb szoftvereket is. Azóta egyébként újabb hibát találtak, bár az sokkal kevésbé veszélyes.
Amikor a Heartbleed felbukkant, az Errata Security végzett egy gyors kutatást, hogy milyen arányban vannak sebezhető webszerverek – írja a Biztonságportál. Persze nem vizsgálták át a teljes világhálót, de a nagyon nagy mintán lefuttatott kutakodásuk során több mint 615 ezer sérülékeny weboldalt találtak. A mintán egy hónap múlva újra lefuttatták a tesztet, és akkor már csak 318 ezerre sérülékeny weboldalt találtak, azaz a weboldalak közel felénél telepítették a biztonsági frissítéseket.
A Google néhány napja jelentette be, hogy a BoringSSL projekt keretében saját igényeihez igazítja az OpenSSL-t. A forkolást részben biztonsági okokkal, részben az OpenSSL karbantartása és patch-elése problémáival indokolják. Az OpenSSL kódbázisa ugyanis elhanyagolt, ami eleve magában hordozza a hibák lehetőségét. A Google nem az OpenSSL konkurensének, hanem saját használatra szánja a BoringSSL-t, ezért továbbra is támogatja az OpenSSL a szabványkönyvtár fejlesztését. A BoringSSL-ből kivesznek minden, a Google számára fölösleges kódrészt.
Újabb hónap múlva ismét elvégezték a felmérést. Ekkor azonban már csak minimális csökkenést tapasztaltak. A vizsgált mintában ugyanis továbbra is találtak 309 ezer olyan oldalt, amit bő két hónappal a biztonsági rés megtalálása és javítása után sem frissítettek.
Van pozitív ellenpróba is
Az Errata kutatásának eredményei persze némileg félrevezetőek, és közel sem adnak teljes képet arról, hogyan kezelték az érintettek a Heartbleedet. Legalábbis erre utalnak az SSL Pulse kutatásai. Az SSL Pulse ugyanis szintén lefuttatott egy tesztet a sérülékeny weboldalak keresésére, de csak a a 155 ezer legforgalmasabb, SSL-támogatással rendelkező weboldalt vizsgálta. Áprilisban ezek 30 százalékán találta meg a sérülékenységet.
Egy hónappal később újra elvégezték a vizsgálatot, de akkor már a sérülékeny oldalak aránya nem érte el az 1 százalékot sem (a pontos eredmény 0,8 százalék volt). Tehát a sok látogatót vonzó oldalak üzemeltetői gyorsan reagáltak, és szinte kivétel nélkül gondoskodtak rendszereik foltozásáról.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak