Dobbelt passordbytte nødvendig

Omfattende følgeskader av OpenSSL-hull kan også bety ny bytterunde av passord.

Publisert Sist oppdatert

Hvor katastrofalt omfattende Heartbleed-sikkerhetshullet blir, begynner å demre. Konsekvensene kan bli mer langsiktige enn de fleste liker. For eksempel kan trinn to av rydde og fikseprosessen etter kjempehullet innebære at såkalte digitale sertifikater som er laget med gammel versjon av OpenSSL må annulleres.

Da kan i verste fall alle brukere av disse nettjenestene må lage nye passord for å lage nye, valide sertifikater.

Sertifikatproblemer

Også selve passordbytteprosessen er en mulig kilde for angrep, sier sikkerhetseksperter.

- OpenSSL brukes i over 60 prosent av nettjenestene som bruker SSL som sikkerhetsmekanisme. Dermed er systemene bak dem store og omfattende. Blant annet er det store mengder digitale sertifikater som må annulleres etter at OpenSSL-hullet er tettet. Å lage disse sertifikatene på nytt kan bety at brukerne må bytte passord igjen, forklarer Per Hellqvist, sikkerhetsekspert i Symantec i Norden.

Symantec er både verdens største selvstendige sikkerhetsselskap og en av de aller største utstederne av digitale sertifikater, i egenskap av såkalt «tiltrodd tredjepart». Det vil si at selskapet gis tillit til å garantere samband og transaksjoner mellom brukere og leverandører gjennom å utstede digitale sertifikater.

- Det er jo en latterlig feil, og den har vært varslet siden nyttår. Så man kan lure på hvorfor responsen fra store nettsteder har vært så treg.

Han ser for seg at følgene for virksomhetene er at de vil teste nye it-løsninger, spesielt sikkerhetsløsninger, grundigere enn før. Mange vil også supplere sikkerhetssystemer som SSL/TLS med å endre oppsett i inntrengingsdeteksjonssystemene.

Ikke bare de store nettjenestene

Neste store utfordring ligger i at bruken av SSL er ikke er avgrenset til store nettjenester som Gmail, Facebook, Dropbox og Yahoo. OpenSSL er brukt i nettverksenheter som svitsjer og rutere både hjemme og på jobb, både kablet og trådløse nettverk. Verre er at denne protokollen også brukes i flere populære spill og spillkonsoller, der abonnementer og kjøp kjøres fra konsollen med brukerens passord og i verste fall kredittkortinformasjon.

- Dersom dette hullet inkluderes i angrepsverktøyene som hackere bruker for å finne angrepsmål, så er vi ikke ferdig med dette angrepet på veldig lenge, sier Hellqvist

Han mener noen av det første angrepene kan komme før dette. Når milliarder av passord skal byttes, og dette skjer med epostvarsling, har vi en klassisk svindelrunde under oppseiling.

- Vi kan tenke oss eposten som sier at nå må passordet på tjeneste det og det byttes. Og så er det en lenke merket «klikk her» i eposten. Men denne lenken går til et nettsted som fanger brukernavn og passord, eller som installerer skadevare i pc-en, forklarer Hellqvist.

Apati og omdømmetap

Den verste følgen Hellqist ser er brukerreaksjonen på det hele.

- Det verste som kan skje nå er at brukerne blir apatiske til alle varslene. Dette var noe av det verste som kunne skje sikkerhetsindustrien. Her har vi oppfordret til å bruke krypterte, sikre samband med SSL og så var en av de mest brukte verktøyene usikker, sukker Hellqvist.

Hos sikkerhetsrådgivere er tonen at vi må lære det vi kan av denne kjempetrusselen.

- For brukere og virksomheter er antagelig det beste som kommer ut av dette en grundig oppfrisking av at det er viktig å sørge for gode oppdateringsrutiner. Det vil alltid eksistere noen hull og brister, men forskjellen er hvordan man er forberedt og håndterer dem når de dukker opp, sier Lars Thoresen, sikkerhet- og kvalitetssjef i NTT Com Security. Arendalsselskapet var tidligere kjent som Secode.

- Det å finne, tette og varsle om nye feil er snakk om rutiner. Gode rutiner innebærer at de alvorlige konsekvensene blir mindre. Et godt styringssystem for informasjonssikkerhet – gjerne ISO27001 sertifisert eller samsvarende - er særdeles viktig.

Gode rutiner hjemme og på jobb

Han understreker at selskaper som har systemer for informasjonssikkerhet på plass, fikser nye problemer raskere og med få driftsproblemer.

- Det handler ikke bare om å ha de aller beste tekniske løsningene på plass. Det er innstilling og gode forberedelser for når det går galt som gjelder. Kvaliteten gjenspeiles i hvor rask responsen er og hvor raskt problemet er fikset. Dette gjelder særlig for programvareleverandørene som utvikler programvaren der feil vil oppstå.

I fortsettelsen er Thoresen bekymret for hvordan OpenSSL-hullet kan utnyttes i nye angrep. Spesielt alle de små klientenhetene i nettverk og spillkonsoller er utsatt.

- Angripere går etter de enkleste målene, om de er digitale eller i den fysiske virkeligheten. En skikkelig lås eller husalarm sikrer ikke nødvendigvis mot innbrudd, men dersom naboen har en dårligere løsning, kommer angrepet der først. Dersom en angriper vil samle seg kredittkortinformasjon fra spillkonsoller kan det nå være enklere enn å angripe en stor nettjeneste, poengterer Thoresen.

Løsningen kan muligens være å unngå frivillig innsats.

- Det mest fornuftige for leverandørene av disse enhetene og tjenestene tvinger oppdatering av programvare og endringer av passord på brukerne. Det er den sikreste måten å få til dette uten at brukerne selv kan velge om og når de oppdaterer programvaren. Men brukere må også ta ansvaret for egne oppdateringer på alvor, sier Thoresen.