Administrátoři kašlou na záplaty

Podrobný průzkum prověřil, jak rychle a zda vůbec aplikují administrátoři opravy na serverech. Výsledky potvrdily, co se ví již dávno, většina na záplaty kašle.
Eric Rescorla, který má na svém kontě několik knížek o SSL a živí se jako nezávislý konzultant, prověřil administrátory linuxových serverů ohledně nedávné díry v OpenSSL. Ta byla oznámena koncem července a později ji využil i červ Slapper, který napadá servery Apache. Zatímco se všeobecně staví linuxoví administrátoři nad ty s Windows, výsledky výzkumu (PDF) jasně ukázaly, že je to vždy především v lidech. Z 10 administrátorů jich 6 nic neudělalo pro opravu po jejím ohlášení a 3 neopravili systémy ani po té, co se začal šířit červ Slapper.

Průzkum probíhal od července až do září, kdy se začal šířit červ Slapper. Eric Rescorla prověřoval server dotazem na verzi používaného softwaru na vzorku 890 serverů využívajících https://. Ty byly vybrány přes Google pomocí hledání https a vybraného náhodného slova ze slovníku. Při testu se kontrolovalo, zda server používá novou verzi systému, případně zda používá zranitelné SSLv2. Všechny servery byly pak testovány každých 6 hodin po dobu více než 70 dní a monitorovala se rychlost aplikování záplat. V grafu převzatého z výsledků vidíte rychlost, jakou se záplatovaly jednotlivé servery:

Klepněte pro větší obrázek

Je jasně vidět, že kdyby Slapper nepřišel, množství nezáplatovaných serverů by se ustálilo na hladině 60% nezabezpečených serverů. Samotný Slapper ale vyburcoval k aktivitě zase ale jen zhruba dalších 40 procent. Počet neopravených serverů by se při interpolaci trendu ustálil na 33 procentech nezabezpečených serverů.

Dokument s výsledky průzkumu jde dále do hloubky v analýze výsledků, zájemci si jej jistě rádi prostudují. Důležitým poznatkem ale je, že ani při zveřejnění závažné chyby, kde je nutná aktivita administrátora kvůli opravě, nehraje ani tak roli okamžitá dostupnost opravy, jako nějaká přímější hrozba. Navíc se také ukázalo, že pro úspěšné šíření červa není nutné jej vytvořit co nejrychleji po zveřejnění detailního popisu chyby. Kdyby si autoři Slappera dali více práce s přípravou, množství zranitelných serverů by se již moc neměnilo a bylo by více zranitelné vůči propracovanému útoku.

O tom, že rychlost ručního aplikování záplat není nejvyšší se ví již dlouho. Právě proto se uvádějí do praxe systémy automatizovaných instalací záplat a pracuje se na systémech, které se samy udržují v aktuálním zabezpečeném stavu.

Pokud se vás týkala chyba v OpenSSL, jak rychle jste záplatovali vy?

Diskuze (25) Další článek: Intel uvádí nové rychlejší Celerony

Témata článku: Google, Windows, Okamžitá dostupnost, Nezabezpečený server, Zranitelný server, Detailní analýza, Záplata, Důležitý poznatek

Určitě si přečtěte


Aktuální číslo časopisu Computer

Jak rychlé je nabíjení bez drátů?

Test 11 sluchátek pro hráče

Aplikace, které vám zachrání dovolenou

Kompletní přehled datových tarifů