Enkla mål för hackare

av | okt 19, 2016 | Säkerhet

Här är beviset: de flesta struntar i om de är enkla mål för hackare

computer 1001

En grupp forskare tog sig mödan att kontakta tiotusentals sajter som drabbats av en sårbarhet. Resultatet blev nedslående.

Det räcker inte att hitta ett säkerhetshål i en webbkamera och få tillverkaren att täppa till det. Först när alla som köpt den uppdaterat mjukvaran kan vi gå säkra från hemliga spioner.

Fast hur sjutton ska det gå till?

En grupp forskare vid tyska Saarlanduniversitetet har ihop med mjukvarujätten SAP gjort ett experiment. De valde ut knappt 44 000 WordPress-sajter som hade minst ett av tre välkända och allvarliga säkerhetshål som är enkla att upptäcka utifrån. Sedan började de höra av sig.

Sajterna delades in i fem grupper. Fyra av dem kontaktades på olika sätt tre gånger under en period på en dryg månad, den femte lämnades i fred för att agera kontrollgrupp.

Så hur gick det?

Forskarna konstaterar att deras kontakter visserligen gav resultat – men högst marginella.

”Även om våra notifikationer gjorde en statistiskt säkerställd skillnad på sårbarheten, är lösningen i sin helhet otillfredsställande. 74,5 procent av webbsajterna lämnas sårbara efter vårt månadslånga experiment”, skriver forskarna i sin rapport.

Mellan 25,1 procent och 26,5 procent av grupperna hade åtgärdat säkerhetshålen efter undersökningen. I kontrollgruppen – som inte kontaktats – låg siffran på 23,3 procent.

Leif Nixon, som driver säkerhetsföretaget Nixon Security, är inte förvånad över resultatet.

– Det matchar mina erfarenheter. Sådana här väldigt vitt distribuerade sårbarheter som drabbar små aktörer är jättesvåra att hantera, säger han.

Precis som forskarna slår han fast att det saknas ett ordentligt system för att anmäla säkerhetshål. Det enskilt största problemen är att få kontakt med rätt person. Knappt sex procent av alla mejl forskarna skickade öppnades – men 40 procent av de som kikat i mejlet åtgärdade sårbarheten inom en vecka.

– Det finns inga system för att hantera sådana här. Att nå ut till sådana här kunder och säga att ni har ett säkerhetsproblem, ni är hackade och ni behöver göra det här. Det går inte med mindre än att man sätter sig med telefonen och ringer upp en efter en och försöker få tag på rätt person och försöka få den personen att tro på en, säger Leif Nixon.

Artikel från Techworld