Egy súlyos biztonsági hiba utózöngéi

Még mindig több százezer webkiszolgáló sérülékeny az OpenSSL nagy port kavart biztonsági rése miatt. Sokan nem veszik komolyan a kockázatokat.
 

Az OpenSSL súlyos, Heartbleed néven emlegetett sebezhetőségére áprilisban derült fény. A biztonsági rés a TLS heartbeat kiegészítősében volt megtalálható, ami memóriakezelési rendellenességeket idézhetett elő. Ennek következtében speciálisan szerkesztett hálózati csomagok révén lehetővé vált a sérülékeny szerverek vagy eszközök memóriájához való jogosulatlan hozzáférés. A sebezhetőség első körben az SSL-t támogató webszervereket érintette, de aztán hamar kiderült, hogy a hiba megannyi hálózati eszközt, védelmi alkalmazást, egyéb szoftvert és mobil készüléket is veszélyeztet. A gyártók pedig rohamtempóban adták ki a frissítéseket. 

Az OpenSSL hibájának napvilágra kerülésekor az Errata Security szakértői egy gyors kutatásba kezdtek, és azt próbálták kideríteni, hogy vajon milyen arányban lehetnek sebezhetők a webszerverek. Akkor több mint 615 ezer sérülékeny weboldalt tudtak kimutatni (nyilván nem a teljes internet vonatkozásában). Ugyanezen a mintán egy hónappal később is végigfuttatták a teszteket, és megállapították, hogy a biztonsági rést tartalmazó kiszolgálók száma 318 ezerre csökkent. Ez jó hírnek számított, hiszen néhány hét alatt sikerült az érintett szerverek felét frissíteni. 

Az Errata kutatói azonban a napokban ismét elvégezték a felmérést, és megdöbbenve tapasztalták, hogy a sérülékeny kiszolgálók száma 309 ezerre adódott, vagyis az elmúlt hónap során alig csökkent. Ez pedig azt jelenti, hogy sok webszerver frissítése igencsak elhanyagolt.

Az Errata kutatása kapcsán azonban meg kell jegyezni, hogy az nem minden szempontból mutat pontos képet a Heartbleed elleni küzdelemről. Ennek oka, hogy a nagyobb látogatottságú weboldalak esetében jóval kedvezőbb a helyzet. Az SSL Pulse adatai szerint a sebezhetőség nyilvánosságra kerülésekor a 155 ezer legforgalmasabb, SSL-támogatással rendelkező weboldal 30 százaléka lehetett sérülékeny, míg egy hónappal később ez az arány lecsökkent 0,8 százalékra. Vagyis a népszerű, jól ismert webhelyek üzemeltetői gyorsan reagáltak, és szinte kivétel nélkül gondoskodtak a rendszerek megfelelő patch-eléséről. Ezzel szemben a kisebb, kevésbé ismert weboldalak fenntartói közül sokan már korántsem voltak ennyire buzgók. (A Heartbleed óta az OpenSSL még egy frissítést kapott, igaz kevésbé súlyos sebezhetőségek miatt. Ennek ellenére ezt a javítást sem érdemes elódázni.)

A Google újragondolja

A Google nemrégen jelezte, hogy a BoringSSL projekt keretében átdolgozza az OpenSSL-t, és azt a saját elvárásaihoz alakítja. Ennek egyrészt biztonsági okai lehetnek, másrészt az OpenSSL karbantartása és patch-elése is olyan komplexé vált, hogy a Google inkább forkolja a szoftvert. Ezzel lehetősége lesz a kód minőségét javítani, és kivenni belőle azokat a komponenseket, összetevőket, amikre nincs szüksége. Korábban hasonlóan döntött az OpenBSD is, melynek nevéhez a LibreSSL fűződik. A Google hangsúlyozta, hogy a BoringSSL nem jelenti azt, hogy "elfelejti" az OpenSSL-t, hiszen folytatódik a fejlesztőkkel való szoros együttműködés, és a pénzügyi támogatást sem szünteti meg.