Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Heartbleed – of de noodzaak om als provider altijd te patchen

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 27 januari 2017 08:00 uur

Er zijn wereldwijd nog steeds een kleine 200.000 systemen die niet gepatched zijn en daarmee kwetsbaar voor Heartbleed. Zoekmachine Shodan publiceerde afgelopen weekend een rapport waaruit bleek dat in de VS ruim 40.000 servers nog vatbaar zijn voor de bug die in 2014 voor de nodige paniek zorgde. Heartbleed maakt gebruik van een lek in OpenSSL waardoor man-in-the-middle-aanvallen mogelijk zijn. Direct na de publicatie van de bug, werd een patch uitgebracht in versie 1.0.1g.

Maar volgens Shodan is er nog steeds groot aantal hosts waarop de oude OpenSSL-versie draait, zonder de patch. Het overgrote deel daarvan staat in de VS – en om het verhaal nog completer te maken, een groot deel van die servers draait in AWS. Daarmee is een zwak punt van public cloud – maar ook van unmanaged hosting in het algemeen – direct aangetoond: wie is verantwoordelijk voor het patchen van servers?

Bij managed services besteedt een klant dat uit. Sterker: in de SLA’s wordt afgesproken dat servers regelmatig worden gepatched. Veel managed providers hebben een actief beleid op gebied van security patching: als een bepaalde threat de gehele infrastructuur van een provider bedreigt, dan zullen veruit de meeste providers direct patchen. In hosting en public cloud werkt dit anders. Vaak zijn de klanten hier zelf verantwoordelijk voor patchen van hun servers.

In Nederland bieden hosters soms Patchman aan, betaald of als onderdeel van de hostingservice. Patchman controleert systemen als WordPress, Drupal of Joomla! op malware, veiligheidslekken en verouderde software. Als Patchman een veiligheidsrisico signaleert, dan dicht het systeem het risico direct als tijdelijke maatregel. De klant zelf moet dan de server verder controleren en eventueel software updaten. AWS biedt deze service pas sinds 21 december 2016 aan, als onderdeel van EC2 Systems Manager. AWS kondigde overigens tegelijkertijd managed services aan.

Maar over het algemeen is de klant verantwoordelijk voor zijn eigen servers. Zeker binnen AWS. Waar een hoster nog een reminder kan sturen met de constatering dat een server niet is gepatched (en kan aanbieden om dit voor de klant te doen), doet Amazon dit niet. Probleem is dat in AWS veel servers wel zijn aangemaakt, maar er vervolgens niet meer naar wordt omgekeken. Vergeten servers. De vraag is of dit een verstandige policy is. Of zouden providers ook bij unmanaged varianten moeten patchen bij kritische kwetsbaarheden? Als een unmanaged server nu eens gebruikmaakt van dezelfde storagefaciliteit als de gemanagede servers? Dan is het risico op een breach via zo’n ongepatchte server behoorlijk.

Providers zouden hier voor moeten waken en altijd actief moeten patchen bij veiligheidslekken. Het patchen van frameworks zoals OpenSSL of besturingssystemen zou inbegrepen moeten zijn. De klant zou contractueel verplicht moeten worden om ernstige lekken direct te repareren als servers op gedeelde platformen staan of de provider zou te allen tijde het recht moet hebben om direct te patchen.

Overigens heeft Nederland blijkbaar haar zaakjes best goed voor elkaar. We staan niet in de top tien van Shodan. Frankrijk en Duitsland wel op respectievelijk de vierde en vijfde plaats.

ISPam.nl Job board

whatsapp web, 22 februari 2017 7:14 am

It is a great article. You will surely like this also because it is a great stuff, yeah it’s give us lots of interest and pleasure. Their opportunities are so fantastic and working style so speedy. Thank you for sharing the nice article.

showbox alternative, 8 maart 2017 5:03 pm

Is showbox not working? Don’t be anxious we have included a list of best Showbox alternative for you to download and apply.

Deel uw reactie met andere ISPam.nl lezers

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

MELD U AAN VOOR DE NIEUWSBRIEF
Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Uitgelicht bedrijfsnieuws van 27 januari 2017
apkdld: Enjoy most recent number one popular android apps game on your phone and tablet, also be aware that ...

Heartbleed – of de noodzaak om als provider altijd te patchen
showbox alternative: Is showbox not working? Don’t be anxious we have included a list of best Showbox alternative for y...

Naar de cloud of naar de haaien?
http://www.coins4games.us/: När jag för en gångs skull sitter uppe och läser precis när ämnet kommer... så ...