Sikkerhedshullet i OpenSSL, der går under navnet Heartbleed, har siden sidste uge sat internettet på den anden ende. Hundredetusinder af hjemmesider skal have skiftet sikkerhedscertifikater, og en række værktøjer, egnet til at tjekke, om man er ramt af sårbarheden, er blevet voldsomt populære.
Men ifølge The Guardian skal man ikke føle sig sikker, fordi man er blevet clearet af en af de mange ”Heartbleed-tjekkere”.
»Mange virksomheder kommer til at sige, at de har kørt værktøjet, og at de er sikre, selvom det ikke er tilfældet,« udtaler sikkerhedseksperten Edd Hardy fra konsulentvirksomheden Hut3, der har gået en række af de populære værktøjer efter i sømmene.
Ifølge Hut3 er omkring 95 procent af de tilgængelige værktøjer upålidelige. Det skyldes blandt andet, at værktøjerne har problemer med forskellige versioner af SSL.
De fleste værktøjer tjekker nemlig kun versionen TLSv1.1, og hvis serveren ikke understøtter den version, vil værktøjet cutte forbindelsen eller foreslå en anden version. Men de fejlramte værktøjer tjekker ikke muligheden for andre versioner af SSL og konkluderer blot, at serveren ikke er sårbar.
Mcafee står bag et af de udbredte værktøjer, og virksomheden bekræfter, at der er en fejlrate på omkring 2,8 procent ved brug af deres værktøj, og oplyser, at man løbende forsøger at optimere koden.
Leave a Reply