Dette må du vite om Heartbleed

Dette må du vite om Heartbleed

- Det er ingen måte å si om du har blitt angrepet, så du må anta det verste.

Du vet det lille hengelås-ikonet nederst i nettleseren din, som du kan se etter for å være trygg på at webtrafikken din er kryptert og sikker?

Vel, det viser seg at du ikke er så trygg som du kanskje trodde, takket være en sårbarhet i koden til OpenSSL.

Så for å gjøre det enklest mulig for deg, her er det du trenger å vite om denne sikkerhetskatastrofen:

Hva er SSL

SSL står for Secure Sockets Layer. Det er en industristandard-teknologi brukt for å etablere en sikker forbindelse mellom to punkter, og krypterer trafikken mellom dem. I teorien beskytter SSL dataene som sendes mellom en webserver og en nettleser fra å bli lest aller avbrutt av uvedkommende.

- I praksis må vi også sjekke printere, trådløse aksesspunkter, routere, svitsjer og den typen utstyr, for alle disse kan administreres via nettleseren, sier TK Keanini, teknisk sjef i Lancope.

Hva har skjedd med SSL?

- En sårbarhet kom inn i OpenSSL i desember 2011, og den har vært i koden inntil for et par dager siden, forklarer Andrew Storms, sjef i DevOps for CloudPassage.

- Buggen lar en uvedkommende angriper lese serverens minne, hvilket kan inneholde serverens private nøkkel.

Feilen påvirker alle versjoner av OpenSSL siden da, og lar en angriper all informasjon som vanligvis er beskyttet av SSL/TLS-kryptering.

Hvor alvorlig er SSL-hullet?

I ett ord: Veldig.

- Hvis en angriper har kontroll på nøkkelen, kan han dekryptere privat kommunikasjon og sette opp et nettsted som imiterer den ekte siten, sier Storms.

- Dette er sannsynligvis en av de mest alvorlige sårbarhetene jeg har sett på 15 år i sikkerhetsbransjen, sier han.

Lamar Bailey, direktør for sikkerhet i Tripwire, er enig:

- Dette er det største sikkerhetshullet jeg har sett på mange år. Det er så mange populære nettsteder som er rammet, at det berører i virkeligheten store deler av internett. Vellykkede angrep kan brukes for å stjele alle typer data som ellers skulle være sikre, som private nøkler, brukernavn og passord.

Keanini fra Lanscore erklærer:

- Det er ikke en overdrivelse å si at denne buggen er den verste i 2014, på grunn av den utrbredte bruken av OpenSSL i nettverkssikkerhet.

Hvordan kan næringsliv og brukerne beskytte seg?

Tripwires Bailey sier:

- Alle som kjører en sårbar versjon av OpenSSL må oppgradere umiddelbart, og deretter lage nye private nøkler. Det er ingen måte å si om du har blitt angrepet, så du må anta det verste. Dette bør være øverst på alle it- og sikkerhetsfolks todo-liste denne uka.

Organisasjoner bør også bytte ut alle nøkkelsett.

- Dette gjør at du må regenerere SSL-sertifikatene og få dem signert av din sertifikatutsteder, sier Andrew Storms.

Bør alle skifte alle passord?

Svaret er "Ja, men kanskje ikke ennå".

Alle bør skifte alle passord, fordi det er ikke noen måte du kan vite hvilke, om noen, som har blitt kompromittert. Med en sårbarhet som påvirker hele internett er det naturlig å anta at passordene dine er sett av utenforstående. Likevel er det ingen grunn til å endre passord før nettstedet har oppdatert sine systemer, ellers vil ditt nye passord bli avslørt på samme måte som det gamle.

Eller som Andrew Storms sier:

- Om du bytter passord eller ikke på grunn av denne feilen er et personlig valg. Men å skifte passord jevnlig er en god ide.

(Publisert av Tony Bradley, CSO Online, oversattt av Computerworld Norge)

Ressurser

Her kan du sjekke om din site er rammet av sårbarheten.

Heartbleed.com finnes mer informasjon.

Les om: