Administrátoři kašlou na záplaty

Podrobný průzkum prověřil, jak rychle a zda vůbec aplikují administrátoři opravy na serverech. Výsledky potvrdily, co se ví již dávno, většina na záplaty kašle.
Eric Rescorla, který má na svém kontě několik knížek o SSL a živí se jako nezávislý konzultant, prověřil administrátory linuxových serverů ohledně nedávné díry v OpenSSL. Ta byla oznámena koncem července a později ji využil i červ Slapper, který napadá servery Apache. Zatímco se všeobecně staví linuxoví administrátoři nad ty s Windows, výsledky výzkumu (PDF) jasně ukázaly, že je to vždy především v lidech. Z 10 administrátorů jich 6 nic neudělalo pro opravu po jejím ohlášení a 3 neopravili systémy ani po té, co se začal šířit červ Slapper.

Průzkum probíhal od července až do září, kdy se začal šířit červ Slapper. Eric Rescorla prověřoval server dotazem na verzi používaného softwaru na vzorku 890 serverů využívajících https://. Ty byly vybrány přes Google pomocí hledání https a vybraného náhodného slova ze slovníku. Při testu se kontrolovalo, zda server používá novou verzi systému, případně zda používá zranitelné SSLv2. Všechny servery byly pak testovány každých 6 hodin po dobu více než 70 dní a monitorovala se rychlost aplikování záplat. V grafu převzatého z výsledků vidíte rychlost, jakou se záplatovaly jednotlivé servery:

Klepněte pro větší obrázek

Je jasně vidět, že kdyby Slapper nepřišel, množství nezáplatovaných serverů by se ustálilo na hladině 60% nezabezpečených serverů. Samotný Slapper ale vyburcoval k aktivitě zase ale jen zhruba dalších 40 procent. Počet neopravených serverů by se při interpolaci trendu ustálil na 33 procentech nezabezpečených serverů.

Dokument s výsledky průzkumu jde dále do hloubky v analýze výsledků, zájemci si jej jistě rádi prostudují. Důležitým poznatkem ale je, že ani při zveřejnění závažné chyby, kde je nutná aktivita administrátora kvůli opravě, nehraje ani tak roli okamžitá dostupnost opravy, jako nějaká přímější hrozba. Navíc se také ukázalo, že pro úspěšné šíření červa není nutné jej vytvořit co nejrychleji po zveřejnění detailního popisu chyby. Kdyby si autoři Slappera dali více práce s přípravou, množství zranitelných serverů by se již moc neměnilo a bylo by více zranitelné vůči propracovanému útoku.

O tom, že rychlost ručního aplikování záplat není nejvyšší se ví již dlouho. Právě proto se uvádějí do praxe systémy automatizovaných instalací záplat a pracuje se na systémech, které se samy udržují v aktuálním zabezpečeném stavu.

Pokud se vás týkala chyba v OpenSSL, jak rychle jste záplatovali vy?

Diskuze (25) Další článek: Intel uvádí nové rychlejší Celerony

Témata článku: Google, Windows, Zranitelný server, Okamžitá dostupnost, Důležitý poznatek, Nezabezpečený server, Detailní analýza, Záplata


Určitě si přečtěte

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

** Pornografie údajně představuje třetinu internetové obsahu a je technologický tahounem ** Do erotického obsahu postupně zasahuje i virtuální realita ** Kromě vizuálního vjemu se pracuje také na virtuálním uspokojení toho hmatového

Jan Dudek | 28

USB-C už mělo být všude, ale není. Tak kde to vázne?

USB-C už mělo být všude, ale není. Tak kde to vázne?

** Konektor USB-C byl představen už před čtyřmi roky ** Praktické univesrzální rozhraní však stále není rozšířeno ** Výrobcům hardwaru se do změny moc nechce

David Polesný, Vladislav Kluska | 87

USA se vrací do vesmíru! NASA představila devět statečných pro první lety soukromých lodí

USA se vrací do vesmíru! NASA představila devět statečných pro první lety soukromých lodí

** NASA zveřejnila nové termíny prvních demonstračních letů dvou soukromých kosmických lodí ** Známe už také jména prvních astronautů ** Jako první poletí k ISS Crew Dragon od SpaceX

Petr Kubala | 15

Takhle zemřete, když asteroid dopadne na vaše město

Takhle zemřete, když asteroid dopadne na vaše město

** Jak by to dopadlo, kdyby na světovou metropoli či do nedalekého moře dopadl velký asteroid? ** Simulovali to odborníci z University of Southampton ** Výsledky jsou velmi zajímavé

Petr Kubala | 32


Aktuální číslo časopisu Computer

Jak mobily určují svoji polohu?

Velký test notebooků pro studenty

Nejlepší reproduktory na párty

Služby a aplikace pro výuku angličtiny