Felelőtlen rendszergazdák?

Az SSL hiba kapcsán Eric Rescorla, egy független biztonsági konzultáns készített egy elemzést, amely érdekes dolgokra hívta fel a figyelmet. Közismert, hogy a hálózati rendszeradminisztrátorok gyakran nagyobb felelősséget vállalnak, mint kellene – így egy komoly hiba (és egy nagyobb hálózat) esetén gyakorlatilag több ember munkáját kénytelenek elvégezni. Ezt a témát járta kicsit tüzetesebben körül Rescorla, amikor az SSL hibát alapul véve újra és újra feltérképezte a kiszolgáltatott rendszereket.

Ugyan már több éve folyamatosan azon vannak a szoftvercégek, hogy a felmerülő biztonsági hibákat lehetőleg minél hamarabb tüntessék el rendszereikből az adminisztrátorok; sajnos nem sok eredménye van a felhívásoknak. Rescorla a júliusban napvilágot látott OpenSSL hibajavítás után nekilátott felmérni a frissítések telepítésének ütemét. A Google segítségével 900 olyan szervert keresett fel, amelyek futtatták az OpenSSL-t. A szakértő minden 6 órában megnézte, ezen szerverek közül mennyire került már fel a patch-et – az eredmény több volt, mint lehangoló.

Körülbelül az érintett rendszerek 40 százalékában történt meg a frissítés a nyilvános bejelentés és a Slapper féreg megjelenése közti hét hetes (!) időszakban. A Slapper, amely ezt a biztonsági rést használja ki, debütálása után szeptemberben az érintett rendszerek további 30 százalékán történt változtatás – a fennmaradó 30 százalék pedig még ekkorra sem reagált. Tíz rendszerből három még ma is ki van téve az ilyen irányú behatolási kísérleteknek.

Két következtetést vont le ebből Rescorla: a felelős emberek egy része egyszerűen lusta folyamatosan karbantartani a rábízott rendszert, egy szintén jelentős hányaduk azonban csak azután tesz valamit is a védelemért, ha már érintetté váltak a hibával kapcsolatban. Gyakran az is közrejátszik, hogy a cégek (főként a kisebbek) nem alkalmaznak teljes időben egy rendszergazdát, illetve az adminisztrátornak számos egyéb (nem ritkán határidős) dolga is akad, mint a javítópatch-ek telepítése…