Sikkerhedshullet i OpenSSL, der går under navnet Heartbleed, har siden sidste uge sat internettet på den anden ende. Hundredetusinder af hjemmesider skal have skiftet sikkerhedscertifikater, og en række værktøjer, egnet til at tjekke, om man er ramt af sårbarheden, er blevet voldsomt populære.
Men ifølge The Guardian skal man ikke føle sig sikker, fordi man er blevet clearet af en af de mange ”Heartbleed-tjekkere”.
»Mange virksomheder kommer til at sige, at de har kørt værktøjet, og at de er sikre, selvom det ikke er tilfældet,« udtaler sikkerhedseksperten Edd Hardy fra konsulentvirksomheden Hut3, der har gået en række af de populære værktøjer efter i sømmene.
Ifølge Hut3 er omkring 95 procent af de tilgængelige værktøjer upålidelige. Det skyldes blandt andet, at værktøjerne har problemer med forskellige versioner af SSL.
De fleste værktøjer tjekker nemlig kun versionen TLSv1.1, og hvis serveren ikke understøtter den version, vil værktøjet cutte forbindelsen eller foreslå en anden version. Men de fejlramte værktøjer tjekker ikke muligheden for andre versioner af SSL og konkluderer blot, at serveren ikke er sårbar.
Mcafee står bag et af de udbredte værktøjer, og virksomheden bekræfter, at der er en fejlrate på omkring 2,8 procent ved brug af deres værktøj, og oplyser, at man løbende forsøger at optimere koden.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
