Dette gjør bransjen med Heartbleed

Heartbleed, den alvorlige svakheten i det åpne rammeverket OpenSSL, ble kjent på mandag denne uken. Heartbleed er alvorlig på grunn av utbredelsen av OpenSSL - så og si alle teknologiaktører bruker teknologien på en eller mer sannsynlig flere måter.

Dette inkluderer sikkerhetssertifikater på nettsteder og i programvare som lynmeldingstjeneste, sikker epost og VPN. For å gjøre det hele verre, er det med denne svakheten fullstendig umulig å vite om ens nettjeneste eller applikasjoner er kompromittert.

Computerworld har snakket med noen av Norges viktigste driftsselskaper for å høre hvordan de har hatt det de siste par dagene.

Fikset på dagen

Lars Olafsen er driftssjef i Redpill Linpro. Han er ikke overrasket over Heartbleed, for som han sier - det aller meste av programvare har bugs.

- Det viktige er å ha systemer som kan håndtere det. Dessuten var fiksen ferdig før bug-en ble offentliggjort. Open Source-verdenen er veldig rask til å rette feil, sier Olafsen.

Likevel er det klart at det har vært mye å gjøre i det siste. Olafsen kan fortelle at dagene har gått litt i ett. Men det har også gått fort. Samtlige av Linpros systemer ble fikset tidlig på tirsdag. Selskapet har automatisk oppdatering på plass, med det åpne verktøyet Puppet i tillegg til automatisert login og patching. SSH, som brukes i denne prosessen, er forøvrig ikke påvirket av Heartbleed.

- Det første vi gjorde var å lage et program som sjekket om vi var sårbare. Vi kjørte det programmet mot alle løsningene våre, og fikk en lang liste, sier Olafsen.

Etter systemene var oppdatert og patchet, satte selskapet i gang med å rette alle sikkerhetssertifikatene for alle kundene. Denne jobben må utføres manuelt, og det tar en del lenger tid enn å patche selve OpenSSL. Først kundenes sertifikater, så sine egne, interne.

- Vi har god kontroll. Vi har også skiftet brukernavn og passord internt her hos oss, forteller Olafsen.

Han legger også til at det er ikke alle som er sårbare selv om deres tjenester er rammet av Heartbleed. Dersom løsningen er begrenset på adgang fra spesifikke IP-adresser er det for eksempel ikke like stort problem som om løsningen står åpent på internett.

Travel tirsdag

Hos Basefarm har det også vært litt ekstra travelt denne uken. Esten Hoel, kvalitets- og sikkerhetssjef, kan fortelle at selskapet fikk patchet opp sårbare systemer i løpet av ettermiddagen på tirsdag. Han har heller aldri sett en så alvorlig svakhet i såpass utbredt programvare noen gang tidligere. Men selskapet var raskt på ballen.

- Vi har skannet alle våre systemer, og alle kundenes systemer på tirsdag formiddag, og patchet det som viste seg å være sårbart innen tirsdag ettermiddag, forteller Hoel.

- Det var mye arbeid, for dette er jo programvare som er overalt. Kartleggingen er ikke gjort i en håndvending, fortsetter han.

I tillegg har Basefarm kommunisert om arbeidet til alle sine kunder, både de som er berørt og de som ikke er berørt av Heartbleed. Selskapet har vært i full sving med å bytte sikkerhetssertifikater, bortsett fra i noen tilfeller der kundene skifter og håndterer disse selv.

Også Nets, leverandør av BankID, har sjekket sine systemer:

- I følge tilbakemeldingen jeg har fått, så skal vi ikke være eksponert for dette. Teknikerne har sjekket alt som kan være utsatt, sier Stein-Arne Tjore, kommunikasjonssjef i Nets.

- Bytt passord

Telenor kan også melde at de har patchet sine nettjenester, og oppforder i en melding kundene sine til å bytte passord.

- Vi har nå oppgradert våre nettjenester for å lukke sårbarheten i OpenSSL. På våre tjenester er det derfor trygt å følge norske myndigheters råd om å bytte passord, sier Hanne Tangen Nilsen, sikkerhetsdirektør i Telenor.

- Vi anser risikoen som lav for at noen har utnyttet sårbarheten hos oss før vi iverksatte tiltak, avslutter hun.