Veel apparaten zullen nooit worden gepatcht om Heartbleed-bug te repareren

Een beveiligingsfout die deze week is ontdekt, treft naar schatting twee derde van de websites en laat internetgebruikers worstelen om het probleem te begrijpen en hun online wachtwoorden bij te werken. Maar veel systemen die kwetsbaar zijn voor de fout, zijn buiten het zicht van het publiek en zullen waarschijnlijk niet worden gerepareerd.





OpenSSL, waarin de bug, bekend als Heartbleed, werd gevonden, wordt veel gebruikt in software die apparaten in huizen, kantoren en industriële omgevingen met internet verbindt. De Heartbleed-fout kan jarenlang voortleven in apparaten zoals netwerkhardware, domoticasystemen en zelfs kritieke industriële controlesystemen, omdat ze niet vaak worden bijgewerkt.

Op het netwerk aangesloten apparaten hebben vaak een eenvoudige webserver om een ​​beheerder toegang te geven tot online controlepanelen. In veel gevallen zijn deze servers beveiligd met OpenSSL en moet hun software worden bijgewerkt, zegt Philip Lieberman, president van beveiligingsbedrijf Lieberman-software . Het is echter onwaarschijnlijk dat dit een prioriteit is. De fabrikanten van deze apparaten zullen geen patches uitbrengen voor de overgrote meerderheid van hun apparaten, en consumenten zullen een onbeduidend aantal apparaten patchen.

Kabelboxen en internetrouters voor thuis zijn slechts twee van de belangrijkste categorieën apparaten die waarschijnlijk worden getroffen, zegt Lieberman. ISP's hebben nu miljoenen van deze apparaten met deze bug erin, zegt hij.



Hetzelfde probleem treft waarschijnlijk veel bedrijven, omdat veel enterprise-grade netwerkhardware en industriële en zakelijke automatiseringssystemen ook op OpenSSL vertrouwen, en die apparaten worden ook zelden bijgewerkt. Grootschalige scans van internetadressen hebben eerder honderdduizenden apparaten aan het licht gebracht, variërend van IT-apparatuur tot verkeerscontrolesystemen, die onjuist zijn geconfigureerd of niet zijn bijgewerkt om bekende fouten te verhelpen (zie Wat gebeurde er toen één man het hele internet pingde) .

In tegenstelling tot servers die worden gepatcht door legers van zakelijk IT-personeel, zullen deze apparaten met internettoegang met kwetsbare OpenSSL-onderdelen niet de aandacht krijgen die ze nodig hebben, zegt Jonathan Sander, strategie- en onderzoeksfunctionaris voor STEALTHbits-technologieën , waarmee bedrijven gegevenstoegang en -lekken kunnen beheren en volgen. OpenSSL is als een defect motoronderdeel dat in elk merk en model auto, golfkar en scooter is gebruikt.

Het is moeilijk in te schatten hoeveel apparaten die met internet zijn verbonden vatbaar zijn voor de Heartbleed-bug, maar het is al heel lang aanwezig in OpenSSL. Alles wat tussen december 2011 en eergisteren in een versie van OpenSSL is gecompileerd, kan kwetsbaar zijn, zegt Mark Schloesser, beveiligingsonderzoeker bij het IT-beveiligingsbedrijf Rapid7.



Een andere onbekende is tot welke waardevolle gegevens toegang kan worden verkregen door een Heartbleed-aanval. Schloesser zegt dat tests tot nu toe suggereren dat het sterk verschilt van systeem tot systeem. De servers van Yahoo lekten bijvoorbeeld gebruikerswachtwoorden, terwijl andere weinig waarde leken te lekken.

Niet iedereen die momenteel probeert te achterhalen welke systemen belangrijke informatie lekken, is een beveiligingsonderzoeker met goede bedoelingen. Er zijn veel mensen die dit proberen te gebruiken om wijdverbreide uitbuiting te bewerkstelligen, zegt Schloesser. Hij wijst op activiteit die is waargenomen in de logs van webservers sinds het probleem werd onthuld, waaruit blijkt dat er pogingen zijn ondernomen om kwetsbare systemen te vinden, en dat er scripts verschijnen die kunnen worden gebruikt om te testen op Heartbleed-kwetsbaarheden.

Sander wijst erop dat veel apparaten voor één doel, zoals thermostaten met internetverbinding, niet veel waardevolle informatie bevatten. Maar hij voegt eraan toe dat ze genoeg kunnen verspreiden voor een aanvaller om in te loggen en de controle over te nemen, en zelfs kleine hoeveelheden gegevens kunnen onthullen of er bijvoorbeeld iemand thuis is of niet.



zich verstoppen