Tietoturva

Heartbleed-paniikki kaikkosi – mutta liian aikaisin?

Julkaistu: , Päivitetty:

Tietoturvatutkijan mukaan verkkoon jäi lukuisia kolkkia, joissa Heartbleed-haavoittuvuus saa pesiä ilmeisen rauhassa.


OpenSSL-salauskirjaston Heartbleed-haavoittuvuus varasti otsikot kaksi kuukautta sitten. Ensimmäisen kuukauden aikana töitä paiskittiin aukon korjaamiseksi lukuisilta palvelimilta ympäri internetiä. Mutta toisen kuukauden aikana into näyttää lässähtäneen isojen ja tunnetuimpien verkkopalvelujen laitettua sivunsa kuntoon.

Tietoturvatutkija Robert Graham muistuttaa yhtiönsä, Errata Securityn löytäneen kuukausi sitten 300 000 haavoittuvaa palvelinta, kun niitä alun perin oli 600 000 kappaletta. Ja nyt kaksi kuukautta Heartbleedin jälkeen haavoittuvia palvelimia on – edelleen 300 000.

– Tämä viittaa siihen, että ihmiset ovat lakanneet edes yrittämästä päivittää, Graham tulkitsee blogissaan. Hän arvioi, että Heartbleed häviää vähitellen seuraavan vuosikymmenen aikana sitä mukaa, kun vanhoja tietokoneita vaihdetaan uusiin.

Grahamilta kysyttiin, aikooko hän ilmoittaa haavoittuvista palvelimista niiden ylläpitäjille. Siihen hän totesi, että tietenkään ei, "koska se aiheuttaisi enemmän ongelmia kuin se ratkaisisi".
Mainos (Teksti jatkuu alla)
Mainos päättyy

Sillä välin
Suomessa


Viestintäviraston Kyberturvallisuuskeskuksen viimeisin tieto Suomen tilanteesta on toukokuun alkupuolelta. Silloin haavoittuvia palveluita oli jäljellä enää joitakin satoja. Tosin joukossa on esimerkiksi yksittäisten kotikäyttäjien omia nas-levypalvelimia ja muita verkkoon päin näkyviä laitteita, joiden korjaaminen voi keskuksen mukaan olla "hyvin hidasta tai olematonta".

– Käsityksemme mukaan merkittävät palvelut Suomessa reagoivat uutiseen hyvin nopeasti ja korjasivat haavoittuvuuden omista järjestelmistään pikaisella aikataululla. Välitimme omien selvitystemme perusteella aktiivisesti tietoa haavoittuvien järjestelmien ylläpitäjille, ja seurasimme päivitystilannetta. Emme ole havainneet sellaista ilmiötä, että korjaukset olisi täällä jätetty puolitiehen, tietoturva-asiantuntija Antti Kurittu kertoo.
 
– Errata Securityn skannaamat, maailmalla näkyvät noin 300 000 vielä haavoittuvaa palvelinta ovat ilmeisesti suunnilleen samat kuin kuukausi sittenkin uutisoidut. Näistä ei kuitenkaan todennäköisesti mitenkään merkittävä osa sijaitse Suomessa, vaikka yksittäisiä haavoittuvia järjestelmiä varmasti jokaisesta maasta vielä löytyy.

Heartbleed-hälinän vaimetessa OpenSSL:stä on löydetty jo toinen haavoittuvuus, jota pidetään sekä vähemmän että enemmän vaarallisena kuin Heartbleedia.

Kommentit

    Näytä lisää