Ny undersøgelse: 612 danske webservere har ikke lukket Heartbleed-hullet

16. april 2014 kl. 16:0514
Seks procent af de danske webservere, som bruger SSL-kryptering, er stadig ramt af det frygtede Heartbleed-hul. Men der er ingen banker eller andre store websider iblandt.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Siden det gabende sikkerhedshul Heartbleed blev afsløret for en uge siden, har der været travlt med at finde løsninger og patche servere og software.

Nu er der for første gang sat tal på, hvor udbredt problemet er i Danmark, efter at datalog Anders Skovsgaard har scannet samtlige danske domæner.

Landsresultatet blev 612 usikre webservere, ud af de 10.257 danske webservere, som bruger SSL-kryptering, svarende til seks procent. De usikre servere rummer 3.343 forskellige domæner.

»Jeg synes ikke, det ser så slemt ud. Det er ikke slemt med seks procent, og jeg har kigget på listen over sårbare domæner, og der er ingen store firmaer iblandt,« siger Anders Skovsgaard til Version2.

Artiklen fortsætter efter annoncen

Han har også for eksempel søgt efter banker blandt de 612 usikre websider, uden at finde nogen, og generelt er det mindre netbutikker, som mangler at få opgraderet sikkerheden og stoppet hullet, vurderer han.

Testen blev kørt tirsdag og er et øjebliksbillede, så Anders Skovsgaard vil forsøge en scanning igen senere og se, om antallet af usikre sider løbende falder.

Scanningen blev gennemført med Python-scriptet Heartbleed Mass Test, som ligger tilgængeligt på Github. For en sikkerheds skyld tjekkede Anders Skovsgaard også selv koden bag værktøjet for at se, om det var til at stole på. Og selve scanningen af de knap én million danske domæner var nem og tog kun tre minutter.

Til gengæld tog forarbejdet flere dage. Anders Skovsgaard fandt en fire år gammel liste over danske domæner og ville først omsætte dem til IP-adresser.

Artiklen fortsætter efter annoncen

»Det tog mig to dage at få resolvet alle domænerne til IP-adresser. Og så viste det sig, at der kun var 46.000 unikke IP-adresser i alt, så mange bliver hosted samme sted. Det overraskede mig lidt,« siger han.

Scanningen viste, at 3.343 danske domæner mapper til en server, der er ramt af sårbarheden. Men det betyder ikke automatisk, at alle disse domæner er usikre at besøge. Det kan også bare skyldes, at de deler server hos hosting-leverandøren, vurderer Anders Skovsgaard.

Hvilke 612 danske webservere, som kører en usikker SSL-kryptering med Heartbleed-sårbarheden, vil Anders Skovsgaard ikke offentliggøre af sikkerhedshensyn.

14 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
14
22. april 2014 kl. 11:06

Nu er der nok mange danske virksomheder med .com domænenavne. Så at scanne .dk alene er ikke nødvendigvis ret givtigt.

Man kunne vælge at scanne alle danske IP adresser, f.eks. ud fra MaxMind databasen. Det kan være at der er en masse routere rundt omkring med hullet.

13
22. april 2014 kl. 00:12

Som brugere af version2.dk kan vi heldigvis glæde os over, at der her er styr på sikkerheden. Her skal vi ikke risikere noget ved at sende vores password m.m. over en https-forbindelse med et måske usikkert ssl-bibliotek. Her logger vi nemlig ind via en alm. ukrypteret standard http. (såvidt jeg lige kan se, ret mig endelig, hvis jeg tager fejl)

8
17. april 2014 kl. 20:38

Det vrimler stadigvæk med usikrede servere, og den eneste måde de bliver opmærksomme på det, er når en eller anden har lirket root passworded ud af dem. Trist men sandt.

9
18. april 2014 kl. 16:48

Ikke den eneste måde. Hvis man ved om usikrede servere mod Heartbleed i Denmark, kan I nemt lave Whois hos Hostmaster og sende dem email (og/eller deres hosting udbyder).

Jeg siger ikke at det man skal gøre, bare at det er de rigtige ting at gøre.

Ellers er jeg bange for at der allerede kører store botnets som gør brug af Heartbleed fejlen. Så skift jeres privat-nøgle, skift passwords og alt andet som vil være skjult i hukommelsen på jeres servere. Tænk DB user/pass, config filer, password til DIBS, o.s.v. - efter I patcher, selvefølgelig :)

10
18. april 2014 kl. 16:50

Whois opslag hos DK Hostmaster giver ikke en mail, og tvivler på at nogle gider sende breve :)

11
18. april 2014 kl. 16:53

Mærkeligt, telefon nr; men ikke email. Forstår godt at man ikke gider ringe dem op... Så kan man slå IP adressen op og kontakte hosting udbyderen. :)

6
17. april 2014 kl. 13:38

Sjovt nok ligger værktøjet på github så hackerne er nok igang med at scanne nettet tyndt :-)

2
17. april 2014 kl. 07:33

"Hvilke 612 danske webservere, som kører en usikker SSL-kryptering med Heartbleed-sårbarheden, vil Anders Skovsgaard ikke offentliggøre af sikkerhedshensyn."

Security by obscurity. :-(

3
17. april 2014 kl. 07:38

Hvorfor vil du absolut have det at vide? Hvilket formål skulle det tjene?

1
16. april 2014 kl. 23:38

Offentligører Anders ikke den data han har?

Nu testede jeg lige med en gammel liste med danske domæner der starter med A. (data her)

altomferie.dk som er en del af FDM Trave erl fx. sårbar.

5
17. april 2014 kl. 12:18

NEJ, den slags skal man ikke offentliggøre. Det er jo at give eventuelle hackere gratis værktøjer.

I stedet kan man skrive en mail til samtlige som mangler sikkerhedsopdatering, men det vil være noget af et arbejde.

7
17. april 2014 kl. 13:56

Jeg brugte samme værktøj til at lave en liste over domæner der starter på A på 5 minutter. Det ændrer ikke noget om han offentliggører det. Det bliver tingene bestemt ikke mere sikre af..

Prøv at Google heartbleed og du vil finde lister, på værktøjets Github side er der en kæmpe liste..