Nyheten om Heartbleed-sårbarheten i OpenSSL har det siste døgnet eller så også nådd allmennpressen, siden sårbarheten også berører vanlige brukere.
Fordi sårbarheten har gjort det enkelt å avlytte kryptert nettrafikk, kan passordene til brukerne av store mengder nettbaserte tjenester ha blitt fanget opp. Derfor er det viktig at brukerne skifter ut passordene de benytter på nettet. Samtidig bør man sørge for at man ikke benytter det samme passordet på flere steder.
Det har likevel begrenset hensikt å bytte ut passordet før man vet at den enkelte tjeneste både har installert sikkerhetsoppdateringen og har fornyet sikkerhetssertifikatet. For eksempel kunngjorde Dropbox i går at selskapet har oppdatert de fleste av tjenestene, men sertifikatet som benyttes ble utstedt i desember i fjor.
– Nå må alle leverandørene først oppdatere sin programvare slik at dette hullet blir tettet, sier direktør Tore Orderløkken i Norsk senter for informasjonssikring (NORSIS), til NRK.
Sertifikatet også
Dersom man bytter passord før også nettstedets nøkkelpar og sertifikat har blitt byttet ut, risikerer man at også det nye passordet fanges opp av angripere.
– Derfor er det er lurt å vente med å skifte passord til for eksempel nettbutikken din har lagt ut melding om at de ikke er sårbare lenger - hvis den noen gang har vært det, sier datasikkerhetsekspert Per Thorsheim til Stavanger Aftenblad.
Det finnes ingen komplett oversikt over hvilke nettsteder som er berørt eller hvilke som har gjort alle nødvendige tiltak, siden antallet er enormt. Lastpass har laget denne tjenesten, som forteller når nettsteder sist fornyet sertifikatet. Men den sier ingenting om det enkelte nettsted faktisk er berørt. Sårbarheten gjelder kun OpenSSL 1.0.1, som benyttes av svært mange nettsteder, men ikke alle. Mange benytter ikke OpenSSL i det hele tatt.
Mashable har laget en oversikt over tilstanden til en del store, amerikanske nettsteder. Men den er på ingen måte komplett.
Sikkerhetseksperten Bruce Schneier skriver om Heartbleed at man kan gå ut fra at de private nøklene til alle berørte nettsteder nå har blitt samlet inn av i alle fall mange etterretningstjenester.
– Det virkelige spørsmålet er om noen med hensikt har plassert denne feilen i OpenSSL, for å ha fri tilgang til alt. Min gjetning er uhell, men jeg har intet bevis, skriver Schneier.
Norge
I Norge har i alle fall Telenor kunngjort at selskapet har gjort de nødvendige tiltak. Selskapet oppfordrer derfor kundene til å bytte passord nå. NRK har samlet status for en del nettsteder, blant annet en håndfull norske nettbanker, nederst i denne saken.
Avdramatiserer
Til NTB sier Arne Asplem, seksjonssjef for teknisk analyse og datasikkerhet i Nasjonal sikkerhetsmyndighet (NSM), at det er grunn til å avdramatisere frykten for at folks sensitive data kan være på avveie.
– Hvis du følger god passordskikk – har gode passord, bytter regelmessig, ikke gjenbruker samme passord på alle tjenestene – da har du ingen grunn til bekymring, sier Asplem til NTB.
Oppdatert klokken 12.00 med sitat fra NTB-melding.
Les også:
- [11.04.2014] – Heartbleed var et hendelig uhell
- [08.04.2014] Ekstremt alvorlig sårbarhet i OpenSSL