Illu: CSIS.

Flere år efter: Her står 735 danske servere uden patch mod den frygtede Heartbleed-sårbarhed

Mere end 700 danske servere står stadig forbundet til internettet, selv om de ikke er patchet mod den frygtede Heartbleed-sårbarhed. Maskinerne findes både i kommuner og virksomheder, og København er hårdest ramt.

På trods af en af de mest intensive oplysningskampagner om it-sikkerhed i internettets historie kan man i dag stadig identificere 735 servere på den danske del af internettet, som ikke er patchet mod Heartbleed, der stammer helt tilbage til 2011.

Da rettelsen til Heartbleed-sårbarheden blev udsendt efter opdagelsen af problemet i foråret 2014, sagde sikkerhedsekspert Peter Kruse:

"Alle systemadministratorer skal smide alt, hvad de har hænderne, hvis de ikke har gjort det allerede, for at patche."

Men det er altså ikke alle, der har hørt den opfordring.

"Der er fortsat et overraskende stort antal servere i Danmark, som er modtagelige overfor Heartbleed-svagheden," siger Peter Kruse i dag til Computerworld efter at have offentliggjort en opgørelse over Heartbleed med 735 sårbare servere.

Heartbleed er en sårbarhed i OpenSSL, der er en open source-udgave af SSL/TSL krypterings-protokollen.

Gennem sårbarheden kan information i serverens hukommelse blive tilgængelige for hackere, der dermed ganske frit kan høste løs af oplysningerne.

Det kan for eksempel indebære brugernavn, password og lignende.

Han fortæller, at der specielt er en høj koncentration i hovedstadsområdet, hvilket også kan ses på heatmappet til højre for artiklen, som viser, hvor de sårbare servere er lokaliseret.

"Det kan vi gøre bedre"
Hvordan kan det være, at der er så mange sårbare servere tilbage efter så lang tid?

"Vi ved det ikke. Men over 700 er alt for mange. Mange af dem er sikkert glemte spøgelsesmaskiner, der sejler rundt på nettet, mens andre er systemer, der aldrig er blevet risikovurderet. Vi kan se, at der både er servere, der tilhører større private virksomheder og offentlige myndigheder som eksempelvis kommuner."

Disse servere kan indeholde personfølsomme data, hvilket kan være kritisk for datasikkerheden.

"Eftersom Heartbleed har eksisteret så længe. er maskinerne med meget stor sandsynlighed inficeret," siger han.

Kan du fortælle, hvilke firmaer eller offentlige myndigheder, der er berørt?

"Det er en skøn blanding, men nu overlader vi IP-adresserne til internetudbyderne og DK Cert, så de kan formidle vores viden videre til de berørte parter, der ikke er vores kunder. 700 maskiner er mange, og det må vi gøre bedre."

Hvad kan de gøre efter så lang tid.

"Man kan stadig hive data ud af systemerne, men det kræver en ny installation af systemet, der må betragtes som kompromitteret."

Læs også:
Værd at vide om Heartbleed: Fem svar der kan hjælpe dig


Manden bag kæmpe sikkerhedshul i OpenSSL: Det var ikke med vilje

Heartbleed-hackere har været forbi Danmark




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Fuel your IT with the best-kept secret in IBM

It takes massive computing power to accurately calculate weather forecasts – and to secure that people and businesses are able to access detailed information about whether it is going to rain, shine, storm, or snow. In this seminar, you will have the chance to hear the British Met Office describe how they do exactly that.

28. januar 2021 | Læs mere


Sandheden om Schrems II – erhvervslivets nye Cuba-krise

Konsekvenserne af Schrems II kan meget vel gå hen og blive en af de største udfordringer for danske virksomheder i 2021. Så tjek ind på denne onlinebriefing, hvor den hemmelige Schrems II gæst, ComplyCloud og Datatilsynet giver dig indsigt i, hvad dommen i virkeligheden handler om, og hvilke menneskelige hensyn der ligger bag.

29. januar 2021 | Læs mere


GDPR i dagligdagen: Fokus på Datatilsynets nye strategi ”Tilsyn med effekt” og Schrems II

GDPR er ikke statisk. Nu øger Datatilsynet GDPR-kontrollen med ny strategi i tre faser. Strategien har fået navnet 'Tilsyn med effekt', og med den åbner Datatilsynet op for et nyt koncept. Derudover er der med Schrems II kommet flere EU-retningslinjer, som man skal tage stilling til.

09. februar 2021 | Læs mere






Premium
Det Europæiske Lægemiddelagentur: Lækket data er taget ud af konteksten og titler er blevet ændret
Seneste opdating fra det Europæiske Lægemiddelagentur beskriver, hvordan it-kriminelle manipulerede med stjålen data inden de offentliggjorde det på internettet.
Computerworld
Biden sender skjult besked til kode-folket: "Hvis du læser dette, har vi brug for din hjælp”
En stående invitation er blevet opdaget i kildekoden på Det Hvide Hus' hjemmeside. Men den er kun til de eksperter, der selv kan finde den.
CIO
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
The Digital Edge: Vi har talt med 17 af Danmarks dygtigste digitale ledere - og samlet deres seks bedste råd om digitalisering og ledelse. Få alle rådene på 26 minutter i denne episode af podcasten The Digital Edge.
White paper
Sådan kan du arbejde effektivt uanset tid, sted og type af enhed
Hvad nu hvis dit arbejde, din information, dine processer og teknologien bag ved, var organiseret på en måde så det passede til din organisation – alt sammen guidet af en intelligent udgave af det digitale arbejdsrum? Det er visionen bag Atea og Citrix´s samarbejde med digital workspace – en smartere og mere effektiv måde at arbejde på. I dette whitetpaper kan du derfor læse om, hvordan du kan skabe et mere effektivt og brugervenligt arbejdsrum uanset tid, sted og enhed. En løsning der på en gang er både enkel og som sætter brugeren i centrum.