Administrátoři kašlou na záplaty

Podrobný průzkum prověřil, jak rychle a zda vůbec aplikují administrátoři opravy na serverech. Výsledky potvrdily, co se ví již dávno, většina na záplaty kašle.
Eric Rescorla, který má na svém kontě několik knížek o SSL a živí se jako nezávislý konzultant, prověřil administrátory linuxových serverů ohledně nedávné díry v OpenSSL. Ta byla oznámena koncem července a později ji využil i červ Slapper, který napadá servery Apache. Zatímco se všeobecně staví linuxoví administrátoři nad ty s Windows, výsledky výzkumu (PDF) jasně ukázaly, že je to vždy především v lidech. Z 10 administrátorů jich 6 nic neudělalo pro opravu po jejím ohlášení a 3 neopravili systémy ani po té, co se začal šířit červ Slapper.

Průzkum probíhal od července až do září, kdy se začal šířit červ Slapper. Eric Rescorla prověřoval server dotazem na verzi používaného softwaru na vzorku 890 serverů využívajících https://. Ty byly vybrány přes Google pomocí hledání https a vybraného náhodného slova ze slovníku. Při testu se kontrolovalo, zda server používá novou verzi systému, případně zda používá zranitelné SSLv2. Všechny servery byly pak testovány každých 6 hodin po dobu více než 70 dní a monitorovala se rychlost aplikování záplat. V grafu převzatého z výsledků vidíte rychlost, jakou se záplatovaly jednotlivé servery:

Klepněte pro větší obrázek

Je jasně vidět, že kdyby Slapper nepřišel, množství nezáplatovaných serverů by se ustálilo na hladině 60% nezabezpečených serverů. Samotný Slapper ale vyburcoval k aktivitě zase ale jen zhruba dalších 40 procent. Počet neopravených serverů by se při interpolaci trendu ustálil na 33 procentech nezabezpečených serverů.

Dokument s výsledky průzkumu jde dále do hloubky v analýze výsledků, zájemci si jej jistě rádi prostudují. Důležitým poznatkem ale je, že ani při zveřejnění závažné chyby, kde je nutná aktivita administrátora kvůli opravě, nehraje ani tak roli okamžitá dostupnost opravy, jako nějaká přímější hrozba. Navíc se také ukázalo, že pro úspěšné šíření červa není nutné jej vytvořit co nejrychleji po zveřejnění detailního popisu chyby. Kdyby si autoři Slappera dali více práce s přípravou, množství zranitelných serverů by se již moc neměnilo a bylo by více zranitelné vůči propracovanému útoku.

O tom, že rychlost ručního aplikování záplat není nejvyšší se ví již dlouho. Právě proto se uvádějí do praxe systémy automatizovaných instalací záplat a pracuje se na systémech, které se samy udržují v aktuálním zabezpečeném stavu.

Pokud se vás týkala chyba v OpenSSL, jak rychle jste záplatovali vy?

Diskuze (25) Další článek: Intel uvádí nové rychlejší Celerony

Témata článku: Google, Windows, Důležitý poznatek, Záplata, Detailní analýza, Zranitelný server, Využívající https, Okamžitá dostupnost, Nezabezpečený server


Určitě si přečtěte

Tohle tak jednou zažít: Nová vzducholoď Airlander 10 s prosklenou podlahou

Tohle tak jednou zažít: Nová vzducholoď Airlander 10 s prosklenou podlahou

** Airlander 10 nabídne plavby vzduchem v interiéru s prosklenou podlahou ** Luxusní vzducholoď byla původně vyvíjena pro vojenské účely ** Počítá se s třídenními „kochacími“ výlety za poznáním

Karel Kilián | 7

Nejlepší hardware: Skládáme nenáročnou sestavu i extrém na hry

Nejlepší hardware: Skládáme nenáročnou sestavu i extrém na hry

** Poradíme, jaký se teď vyplatí koupit hardware ** Procesory, desky, paměti, grafické karty... je z čeho vybírat ** Počítač ale nemusíte skládat, ukážeme i výhodné hotové počítače

Stanislav Janů | 8

Modelářský zázrak: Maketa raketoplánu Columbia, která létá jako skutečná raketa

Modelářský zázrak: Maketa raketoplánu Columbia, která létá jako skutečná raketa

** Model raketoplánu Columbia od českého konstruktéra umí i létat ** Obdivuhodný model si vzal 1600 hodin práce ** Podívejte se na fotografie ze stavby a prvního letu

Karel Jeřábek | 20