Derfor er «Heartbleed» nettets største sikkerhetsfeil
Alvorlig sikkerhetshull i OpenSSL oppdaget.
Det er oppdaget et meget alvorlig sikkerhetshull i krypteringsbiblioteket OpenSSL, programvaren som krypterer dataene som flyter mellom sikre Internettsider rundt om kring i hele verden. Sårbarheten skal ha ligget latent i programvaren helt siden Heartbeat-utvidelsen av programmet ble lansert i mars 2012, og kan gjelde så mange som to tredjedeler av alle nettbrukere, melder Ars Technica.
Sikkerhetshullet er svært alvorlig fordi det har vært uoppdaget de siste 2 årene. Samtidig skal det etter alt å dømme være umulig å oppdage om noen uønskede har brukt svakheten til å snoke til seg data som sendes mellom bruker og tjenesteytere.
Denne typen kryptering er ofte i bruk blant nettbanker og andre tjenester der du opplyser om sensitiv informasjon, som for eksempel passord eller kredittkortnummeret ditt.
Oppdatert: Norske sikkerhetsmyndighet har nå sendt ut en pressemelding der de anbefaler alle som på ett eller annet vis har brukt en tjeneste som har tatt i bruk OpenSSL, å bytte passord. Siden feilen har eksistert i to år, og fordi majoriteten av tjenester på nettet der man utveksler sensitive personopplysninger bruker OpenSSL, betyr dette at du først som sist bør bytte alle passord du har på nett.
– Vi anbefaler også at tjenesteleverandører som har sårbarheten, og som har kunder med innloggingstjenester på den ene eller andre måten, oppdaterer, varsler brukerne, og anbefaler bytte av passord, skriver NSM.
Norges største bank, DNB, har lagt ut en melding på sine Facebook-sider der de forteller at det ikke er nødvendig for deres kunder å bytte passord i nettbanken. Sparebank 1 har også publisert en lignende melding.
Til VG karakteriserer seniorrådgiver i Norsk Senter for informasjonssikring, Vidar Sandland, sikkerhetshullet som det største og alvorligeste på Internett på mange år.
Trenger du tips til å sette et nytt, sikkert passord?
De beste passordene er enklest å huske »
Umulig å spore
Det som gjør Heartbeat-hullet så alvorlig er at det ikke skal være umulig å spore ned kriminelle som har brutt seg inn og fått fingrene i sensitive personopplysninger.
Sårbarheten gjør at hvem som helst kan gå inn og lese av minnet til systemer som skulle vært beskyttet av OpenSSL, og dermed i verste fall hente ut den private krypteringsnøkkelen.
Med den private nøkkelen i hende kan noen med uedle hensikter for eksempel sette opp falske sider – for eksempel en falsk versjon av nettbanken din mellom deg og den faktiske nettbanken – og på den måten hente ut sensitiv informasjon. Det krever imidlertid at personen med uedle hensikter har tilgang til infrastrukturen mellom deg og nettbanken.
Problemet er også at ingen har oversikt over hvor mange som har kjent til svakheten i programmet. Dermed er det umulig å si noe om hvor mange som har missbrukt sikkerhetshullet, annet enn at det er rimelig å tro at noen sitter på sensitiv informasjon de ikke burde ha.
Tettet, men du kan fortsatt være i fare
Sikkerhetshullet er nå tettet med en ny oppdatering av OpenSSL, men fortsatt er ikke faren over. Selv om oppdateringen tar seg av sikkerhetshullet, er det ikke helt sikkert før alle som brukte den gamle versjonen av krypteringen har oppdatert systemene sine.
Samtidig er det fortsatt uvisst om noen har informasjon om de ulike sikkerhetsnøklene som har vært i bruk. Den eneste måten å forsikre seg mot at noen kan bryte seg inn selv etter at OpenSSL er oppdatert, er å dele ut nye nøkler. Det betyr at alle servere og leverandører som har brukt OpenSSL til å kryptere informasjon de siste to årene, må lage nye nøkler.
Det er opprettet en egen nettside som omtaler alt som er kjent rundt sikkerhetshullet Heartbleed.
Trenger du tips til å sette et nytt, sikkert passord?
De beste passordene er enklest å huske »
(Kilde: Ars Technica, VG, Heartbleed)
