Heartbleed: Aldri så galt …

… at det ikke er godt for noe. Verden er blitt sikrere. Men ikke fordi OpenSSL er patchet.

Men fordi en hel verden har fått et spark på skinnleggen. Snudd seg rundt og testet. Både seg selv og sine ‘omgivelser’. Er vi utsatt?

Slik testing skjer forbausende sjelden. Antagelsene råder, rutinene mangler. Derfor står overraskelsene i kø når det først skjer. Mens to dusin test-tjenester på nett går varme av belastning, popper den ene feilen etter den andre opp. Kun unntaksvis relatert til Heartbleed. Og verden patcher på harde livet.

Den typiske avsløringen havner i kategorien ‘har vi virkelig ikke oppdatert/patchet system X på Y år?’ Unnlatelsessyndene florerer. Blant de mer esoteriske havner HPs iLO (integrated Lights Out, en ‘front end’ for fjerndrifting av servere). iLO (1. og 2. gen.) styrer unna Heartbleed, men krasjer kraftig av testene. Så kraftig at strømmen må fysisk frakobles for å komme i gang igjen.

Ironien blir total når serveren bak iLO-modulen tikker uberørt videre, mens driftsverktøy og -personell rapporterer totalcrash…

Vi har sett tilsvarende rapporter for rutere, servere, web-løsninger og mer – alle understreker poenget: Aldri så galt at det ikke er godt for noe.

På en annen kant, men med samme effekt kappes Google, Microsoft og flere om å gi penger til Open Source-miljøene for å forbedre produktene hele verden er avhengige av – inklusive OpenSSL. Alle vinner.

Derfor: I kjølvannet av Heartbleed-hysteriet (se Heartbleed: Storm i et vannglass og Akseptér usikkerhet – for sikkerhets skyld) kommer forbedring. Millioner av gamle synder blir historie, og verden er sikrere. For en stund.

---

Oppdatering: Se også Mnemonics oversikt over produkter som er eksponerte.