Πάνε περισσότερα από 3 χρόνια από την ανακάλυψη και δημοσιοποίηση του σημαντικότατου bug το οποίο βρέθηκε στο OpenSSL. Σήμερα, η συγκεκριμέμνη ευπάθεια κάνει αισθητή τη παρουσία της στο κόσμο του διαδικτύου καθώς είναι αρκετοί οι οργανισμοί οι οποίοι δεν ασχολήθηκαν ενδελεχώς με το patching αυτού του σοβαρότατος θέματος ασφαλείας.
Σύμφωνα με έρευνα την οποία δημοσίεσε η γνωστή μηχανή αναζήτησης ευπαθών συσκευών και όχι μόνο, Shodan, η συγκεκριμένη ευπάθεια υπάρχει σε πάνω από 199,500 συστήματα.
Το Hearbleed (CVE-2014-016) είναι ένα σοβαρότατο bug στην εφαρμογή και λειτουργία του OpenSSL, και συγκεκριμένα στην επέκταση του TLS/DTLS, το οποίο επέτρεπε σε έναν κακόβουλο χρήστη να διαβάζει κομμάτια από τη μνήμη του ευπαθούς server, πιθανότατα εκθέτοντας στοιχεία των χρηστών τα οποία δεν έπρεπε σε καμία περίπτωση να είναι κοινά (στοιχεία τραπεζικών λογαριασμών κ.ο.κ).
Σύμφωνα με τον επικεφαλή της Shodan, John Matherly, οι χώρες οι οποίες πάσχουν ακόμα περισσότερο είναι οι Ηνωμένες Πολιτείες της Αμερικής, ακολουθούμενες από την Κορέα, την Κίνα, τη Γερμανία, τη Γαλλία, τη Ρωσία, το Ηνωμένο Βασίλειο, την Ινδία, τη Βραζιλία και εν τέλει την Ιταλία.
Συγκεκριμένα, ο Matherly, ανακάλυψε γύρω στα 43,032 ευπαθή συστήματα στις Ηνωμένες Πολιτείες, 15,380 στη Κορέα, 14,116 στη Κίνα και 14,072 στη Γερμανία.
Οι οργανισμοί και οι εταιρίες οι οποίες πάσχουν σε μεγαλύτερο βαθμό από τούτο το χρόνιο bug είναι η SK Broadband αλλά και η Amazon.com(!) ενώ περίπου 75,000 από τις ευάλωτες υπηρεσίες χρησιμοποιούν ληγμένα πιστοποιητικά SSL και τρέχουν μια παλαιά έκδοση του πυρήνα Linux, την 3.X .
Καθώς η συγκεκριμένη ευπάθεια δεν είναι περιορισμένη σε μια συγκεκριμένη ομάδα, η κατηγορία προϊόντων, η ολική εξάλειψή της αποτελεί τροχοπέδη, εφόσον δεν δύναται να δοθεί ένα security patch over-the-air όπως θα ήταν δυνατόν με ένα λειτουργικό σύστημα ή μια εφαρμογή. Έτσι, είναι φρόνιμο να προβλέψουμε, δεδομένη την αδιαφορία την οποία επιδεικνύουν οι sysadmins ανά το κόσμο, πως το Heartbleed θα συνεχίσει να κάνει αισθητή τη παρουσία του και για τα επόμενα χρόνια, έως ότου το στάδιο όπου θα πραγματοποιηθούν αναβαθμίσεις σε servers και υπηρεσίες, όχι λόγω των ευπαθειών που φέρουν, αλλά για τη προσθήκη νέων χαρακτηριστικών. Δηλαδή, “μαζί με το βασιλικό, ποτίζεται και η γλάστρα”.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
