211service.com
Många enheter kommer aldrig att lappas för att fixa Heartbleed Bug
En säkerhetsbugg som avslöjades den här veckan påverkar uppskattningsvis två tredjedelar av webbplatserna och får internetanvändare att leta efter att förstå problemet och uppdatera sina onlinelösenord. Men många system som är sårbara för felet är osynliga för allmänheten och kommer sannolikt inte att fixas.
OpenSSL, där buggen, känd som Heartbleed, hittades, används ofta i programvara som kopplar enheter i hem, kontor och industriella miljöer till Internet. Heartbleed-felet kan leva kvar i flera år i enheter som nätverkshårdvara, hemautomationssystem och till och med kritiska industriella kontrollsystem, eftersom de sällan uppdateras.
Nätverksanslutna enheter kör ofta en grundläggande webbserver för att ge en administratör åtkomst till kontrollpaneler online. I många fall är dessa servrar säkrade med OpenSSL och deras mjukvara kommer att behöva uppdateras, säger Philip Lieberman, vd för säkerhetsföretaget Lieberman programvara . Det är dock osannolikt att detta kommer att prioriteras. Tillverkarna av dessa enheter kommer inte att släppa patchar för de allra flesta av sina enheter, och konsumenter kommer att patcha ett obetydligt antal enheter.
Kabelboxar och internetroutrar för hemmet är bara två av de stora klasserna av enheter som sannolikt kommer att påverkas, säger Lieberman. Internetleverantörer har nu miljoner av dessa enheter med den här buggen i sig, säger han.
Samma problem påverkar sannolikt många företag, eftersom massor av nätverkshårdvara av företagskvalitet och industri- och affärsautomationssystem också är beroende av OpenSSL, och dessa enheter uppdateras också sällan. Storskaliga genomsökningar av internetadresser har tidigare avslöjat hundratusentals enheter, allt från IT-utrustning till trafikkontrollsystem, som är felaktigt konfigurerade eller inte har uppdaterats för att korrigera kända brister (se Vad hände när en man pingade hela Internet ) .
Till skillnad från servrar som patchas av arméer av företags IT-personal, kommer dessa internetaktiverade enheter med sårbara OpenSSL-delar inte att få den uppmärksamhet de kan behöva, säger Jonathan Sander, strategi- och forskningschef för STEALTHbits Technologies , som hjälper företag att hantera och spåra dataåtkomst och läckor. OpenSSL är som en defekt motordel som har använts i alla märken och modeller av bilar, golfbilar och skotrar.
Det är svårt att uppskatta hur många enheter som är anslutna till Internet som är mottagliga för Heartbleed-buggen, men den har funnits i OpenSSL länge. Allt som kompilerats i en version av OpenSSL mellan december 2011 och i förrgår kan vara sårbart, säger Mark Schloesser, säkerhetsforskare för IT-säkerhetsföretaget Rapid7.
En annan okänd är vilken värdefull data som kan nås av en Heartbleed-attack. Schloesser säger att tester hittills tyder på att det varierar mycket från ett system till ett annat. Yahoos servrar, till exempel, läckte användarlösenord, medan andra visade sig läcka lite av värde.
Alla som för närvarande försöker ta reda på vilka system som läcker viktig information är inte säkerhetsforskare med goda avsikter. Det finns massor av människor som försöker använda detta för att göra utbredd exploatering, säger Schloesser. Han pekar på aktivitet som har setts i webbserverloggar sedan problemet avslöjades som visar försök att hitta sårbara system, och utseendet på skript som kan användas för att testa för Heartbleed-sårbarheter.
Sander påpekar att många enheter för enstaka ändamål - till exempel internetanslutna termostater - inte innehåller mycket värdefull information. Men han tillägger att de kan spilla tillräckligt för att en angripare ska kunna logga in och ta kontroll, och även små mängder data kan till exempel avslöja om någon är hemma eller inte.