Heartbleed-kaos: 95 procent af hjælpeværktøjerne er fejlramte

16. april 2014 kl. 14:047
Websites i massevis er nervøse for, om de er sårbare som følge af sikkerhedshullet Heartbleed. Der er gratis værktøjer, man kan bruge til at tjekke - men det er langtfra sikkert, at de virker.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Sikkerhedshullet i OpenSSL, der går under navnet Heartbleed, har siden sidste uge sat internettet på den anden ende. Hundredetusinder af hjemmesider skal have skiftet sikkerhedscertifikater, og en række værktøjer, egnet til at tjekke, om man er ramt af sårbarheden, er blevet voldsomt populære.

Men ifølge The Guardian skal man ikke føle sig sikker, fordi man er blevet clearet af en af de mange ”Heartbleed-tjekkere”.

»Mange virksomheder kommer til at sige, at de har kørt værktøjet, og at de er sikre, selvom det ikke er tilfældet,« udtaler sikkerhedseksperten Edd Hardy fra konsulentvirksomheden Hut3, der har gået en række af de populære værktøjer efter i sømmene.

Ifølge Hut3 er omkring 95 procent af de tilgængelige værktøjer upålidelige. Det skyldes blandt andet, at værktøjerne har problemer med forskellige versioner af SSL.

Artiklen fortsætter efter annoncen

De fleste værktøjer tjekker nemlig kun versionen TLSv1.1, og hvis serveren ikke understøtter den version, vil værktøjet cutte forbindelsen eller foreslå en anden version. Men de fejlramte værktøjer tjekker ikke muligheden for andre versioner af SSL og konkluderer blot, at serveren ikke er sårbar.

Mcafee står bag et af de udbredte værktøjer, og virksomheden bekræfter, at der er en fejlrate på omkring 2,8 procent ved brug af deres værktøj, og oplyser, at man løbende forsøger at optimere koden.

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
16. april 2014 kl. 16:33

Det var da ikke så svært at åbne en terminal og skrive:

sudo apt-get update && sudo apt-get upgrade

2
16. april 2014 kl. 17:36

Det er ikke nok. Der skal generes nye privat nøgler, udstedes nye certifikater som skal signeres og de gamle skal tilbage kaldes.

5
18. april 2014 kl. 09:18

Det er i hvert fald det første som man skal gøre, og bedre end ingenting. Hvis der ikke er nogen som har hentet certifikatet ud i mellemtiden er alt jo i skønneste orden :-D

6
18. april 2014 kl. 09:45

Chancen for at vide om nogen har plukket dit certifikat er lig nul, skift det :)

4
17. april 2014 kl. 20:41

Næ helt sikkert ikke, heartbleed kommer til at spøge i mange år fra nu af.