Novo
Agora IDGNow! é IT Midia.com
Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Logo ITMidia
Logo ComputerWorld
Logo PCWorld
Logo CIO
Logo ITForum
Salvar em Nova pasta de favoritos

+

Criar pasta
Últimos favoritos Ver todos
Últimas notícias do conteúdo : Ver todos
Heartbleed: mais de 300 mil servidores continuam vulneráveis
Heartbleed: mais de 300 mil servidores continuam vulneráveis
Home > Internet

Heartbleed: mais de 300 mil servidores continuam vulneráveis

Uma rápida verificação mostra que a taxa de correção caiu e muitos servidores permanecem desatualizados

Andy Patrizio, NetworkWorld

24/06/2014 às 16h50

heartbleed-bug.jpg
Foto:

Há dois meses, o mundo da tecnologia foi atingido por uma vulnerabilidade presente em centenas de milhares de sites - o que obrigou os usuários a mudarem senhas de de muitos de seus favoritos.

Depois da incrível cobertura feita pela mídia, era de se imaginar que todos os servidores afetados fossem imediatamente corrigidos, não é? Mas não foi isso que aconteceu. Um novo relatório divulgado pela Errata Security mostra que mais de 300 mil servidores ainda estão utilizando as versões desatualizadas do OpenSSL, vulneráveis à falha.

A empresa de segurança realizou um teste simples para chegar nessa conclusão. Ela verificou a porta 443, uma das mais utilizadas por servidores, para determinar qual a versão do OpenSSL estava rodando, com base na resposta do servidor e, assim, determinar se tal servidor estava em risco de ataque.

Histórico
Quando a vulnerabilidade foi divulgada publicamente, profissionais da Errata Security verificaram a mesma porta e encontraram mais de 650 mil sistemas vulneráveis. O número, então, caiu rapidamente no primeiro mês para 330 mil. Depois disso, a taxa de upgrade caiu drasticamente - um mês depois o número de sistemas vulneráveis estava bem abaixo, nos 18 mil.

Mas o autor do relatório, Robert Graham, CEO da Errata, notou algumas grandes mudanças na sua atualização feita em maio. Em abril, ele identificou 28 milhões de sistemas com suporte ao SSL, mas em maio o número era de 22 milhões.

"Acredito que a razão para isso é que as pessoas detectaram os meus 'ataques Heartbleed' e automaticamente me barraram antes que a varredura tivesse sido completada. Ou, outro problema é que eu posso ter tido um maior congestionamento de tráfego no ISP, o que reduziria os números", observou.

Em abril, o executivo encontrou um milhão de sistemas com a funcionalidade "heartbeat", sendo um terço deles corrigido. Em maio, ele encontrou 1,5 milhão de sistemas com suporte ao heartbeat, com 300 mil sem correção.

"Isso significa que a primeira resposta ao bug foi desativar os heartbeats e, mais tarde, quando as pessoas corrigiam corretamente o software, os heartbeats foram reativados", escreveu ele.

Ele também disse que está realizando varreduras em endereços IP, versões 4 e 6.

A Errata prometeu verificar novamente todos os servidores vulneráveis ​​no próximo mês e, em seguida, de seis em seis meses e, depois, anualmente. E assim por diante.

Graham espera que os números diminuam gradativamente à medida que os servidores sejam substituídos. Mas, sério, não há desculpas para ignorar a atualização do OpenSSL e corrigir esse erro, porque ele é verdadeiramente um monstro.

Tags
Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail
Vai um cookie?

A IT Mídia usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Para mais detalhes veja nossa Política de Privacidade.

Este anúncio desaparecerá em:

Ir para o site