Heartbleed месяц спустя: половина серверов остаются уязвимыми

Месяц прошёл с тех пор, как стало известно об уязвимости под названием Heartbleed в широко применяемой криптографической библиотеке OpenSSL. Эта уязвимость подвергает серьёзной опасности пользовательские данные на веб-сайтах: несмотря на это, по прошествии месяца она остаётся незакрытой примерно на половине серверов, на которых изначально присутствовала.

Такую оценку дали два проведённых недавно исследования. Глава компании Errata Security Роб Грехем месяц назад оценивал число уязвимых серверов в 615268; с них злоумышленники могли заполучить пароли от аккаунтов пользователей и другие их данные, а также ключи шифрования, позволяющие вести мониторинг зашифрованного трафика. На этой неделе число уязвимых серверов Грехем оценил в 318239.

Другой анализ использовал несколько отличающиеся методы измерения. Используя инструмент TLS Prober, 11 апреля число беззащитных перед Heartbleed серверов оценили в 5,36% от общего числа, на уходящей неделе повторное сканирование дало результат в 2,33% серверов глобальной сети. При этом сюда не входит множество серверов, предоставляющих услуги вроде электронной почты или виртуальные частные сети. Особо отмечается, что мало изменилось число уязвимых систем, использующих аппаратное шифрование при помощи устройств Big-IP от компании F5.

Результаты могут быть не самыми точными с учётом сложности сканирования миллионов IP-адресов и доменных имён, однако они хотя бы показывают масштаб проблемы. Для сравнения, отдельный анализ 156022 веб-сайтов обнаружил уязвимость на 1291 из них.