Daudzas ierīces nekad netiks labotas, lai novērstu Heartbleed kļūdu

Šonedēļ atklātā drošības kļūda ietekmē aptuveni divas trešdaļas vietņu, un interneta lietotāji cenšas izprast problēmu un atjaunināt savas tiešsaistes paroles. Taču daudzas sistēmas, kas ir neaizsargātas pret defektu, ir ārpus sabiedrības redzesloka un, visticamāk, netiks novērstas.





OpenSSL, kurā tika atrasta kļūda, kas pazīstama kā Heartbleed, tiek plaši izmantota programmatūrā, kas savieno mājās, birojos un rūpnieciskos apstākļos esošās ierīces ar internetu. Heartbleed trūkums varētu pastāvēt gadiem ilgi tādās ierīcēs kā tīkla aparatūra, mājas automatizācijas sistēmas un pat kritiskās rūpnieciskās vadības sistēmas, jo tās tiek reti atjauninātas.

Tīklam pievienotās ierīcēs bieži darbojas pamata tīmekļa serveris, lai ļautu administratoram piekļūt tiešsaistes vadības paneļiem. Daudzos gadījumos šie serveri ir aizsargāti, izmantojot OpenSSL, un to programmatūra būs jāatjaunina, saka Filips Lībermans, drošības uzņēmuma prezidents. Lieberman programmatūra . Tomēr tā diez vai būs prioritāte. Šo ierīču ražotāji neizlaidīs ielāpus lielākajai daļai savu ierīču, un patērētāji izlāps nenozīmīgu skaitu ierīču.

Kabeļu bloki un mājas interneta maršrutētāji ir tikai divas no galvenajām ierīču klasēm, kuras varētu tikt ietekmētas, saka Lībermans. Viņš saka, ka interneta pakalpojumu sniedzējiem tagad ir miljoniem šo ierīču ar šo kļūdu.



Tāda pati problēma, iespējams, skar daudzus uzņēmumus, jo liela daļa uzņēmuma līmeņa tīkla aparatūras un rūpnieciskās un biznesa automatizācijas sistēmas arī paļaujas uz OpenSSL, un šīs ierīces arī reti tiek atjauninātas. Liela mēroga interneta adrešu skenēšana iepriekš ir atklājusi simtiem tūkstošu ierīču, sākot no IT aprīkojuma līdz satiksmes kontroles sistēmām, kas ir nepareizi konfigurētas vai nav atjauninātas, lai labotu zināmos trūkumus (skatiet Kas notika, kad viens cilvēks ping visā internetā) .

Atšķirībā no serveriem, ko ielāgo korporatīvo IT darbinieku armijas, šīs interneta iespējotās ierīces ar neaizsargātām OpenSSL daļām nesaņems tām nepieciešamo uzmanību, saka Džonatans Sanders, uzņēmuma stratēģijas un pētniecības darbinieks. STEALTHbits Technologies , kas palīdz uzņēmumiem pārvaldīt un izsekot piekļuvi datiem un noplūdēm. OpenSSL ir kā bojāta dzinēja daļa, kas ir izmantota katras markas un modeļa automašīnās, golfa ratiņos un skrejritenī.

Ir grūti novērtēt, cik daudz ar internetu savienotu ierīču ir jutīgas pret Heartbleed kļūdu, taču OpenSSL tā ir bijusi jau ilgu laiku. Jebkas, kas tika apkopots OpenSSL versijā no 2011. gada decembra līdz aizvakardienai, var būt neaizsargāts, saka Marks Šlosers, IT drošības uzņēmuma Rapid7 drošības pētnieks.



Vēl nav zināms, kādiem vērtīgiem datiem var piekļūt Heartbleed uzbrukums. Šlosers saka, ka līdz šim veiktie testi liecina, ka tas dažādās sistēmās ir ļoti atšķirīgs. Piemēram, Yahoo serveri nopludināja lietotāju paroles, bet tika konstatēts, ka citiem serveriem nav lielas vērtības.

Ne visi, kas pašlaik cenšas noskaidrot, kuras sistēmas nopludina svarīgu informāciju, ir drošības pētnieks ar labiem nodomiem. Šlosers saka, ka daudzi cilvēki cenšas to izmantot, lai veiktu plašu ekspluatāciju. Viņš norāda uz darbībām, kas novērotas tīmekļa serveru žurnālos kopš problēmas atklāšanas, parādot centienus atrast neaizsargātas sistēmas un skriptu parādīšanos, ko var izmantot, lai pārbaudītu Heartbleed ievainojamības.

Sanders norāda, ka daudzās vienreizējās ierīcēs, piemēram, internetam pieslēgtos termostatos, nav daudz vērtīgas informācijas. Taču viņš piebilst, ka tie varētu izplūst pietiekami daudz, lai uzbrucējs varētu pieteikties un pārņemt kontroli, un pat nelieli datu apjomi varētu atklāt, piemēram, to, vai kāds ir vai nav mājās.



paslēpties