torsdag 10 april 2014

Heartbleed - det här behöver du veta - Computer Sweden

Heartbleed - det här behöver du veta - Computer Sweden



Sedan i måndags har systemadministratörer och säkerhetsexperter
världen över stångats mot vad som kallats det största säkerhetshålet i
webbens historia - Heartbleed. Men vad är det som har hänt? Computer
Sweden reder ut.




Vad är Heartbleed?

CVE-2014-0160 som är det officiella namnet är en bugg i Openssl som är
en populär uppsättning kryptografisk mjukvara. Openssl används för att
skydda webbläsartrafik till och från så många som två tredjedelar av
alla servrar på webben. Den används även för att skydda mejlservrar,
chattservrar och vpn-tjänster.

Heartbleed-buggen låter en hackare stjäla information som - normalt sett
- skyddas av krypteringen ssl/tls. Hålet utnyttjar en funktion kallad
heartbeat, som låter webbservrar hålla säkra anslutningar öppna över en
längre tid. Genom att utnyttja Heartbleed-buggen kan en hackare tanka
hem 64 kilobyte data åt gången från den aktuella serverns minne, och
sedan göra det om och om igen tills de data hackaren är ute efter har
samlats in. Det kan vara exempelvis användarnamn och lösenord som ligger
i den aktuella serverns minne vid angreppet.

 

Hur upptäcktes buggen?

Heartbleed blev officiellt känd i måndags kväll i samband med att en
buggfix som täpper igen hålet. Bakom upptäckten står tre finska
säkerhetsforskare på företaget Codenomicon samt en säkerhetsexpert på
Google.

Extra prekärt är att säkerhetshålet har funnits i Openssl-koden sedan
december 2011 och spreds på webben i samband med Openssl v1.0.1 som
släpptes i mars 2012. Hur hålet uppstod är oklart men antagligen skedde
det av misstag i samband med att koden uppdaterades. Openssl bygger på
öppen källkod.

 

Hur allvarligt är detta?

Att buggen funnits i två år gör det svårt att bedöma vilken skada som
skett - det är helt enkelt inte känt om aktörer med intresse av att
komma över känslig information (oavsett om det är stater eller
kriminella nätverk) har haft kännedom om hålet innan det täpptes till nu
i veckan.

Klart är att en lång, lång rad sajter och tjänster saknat skydd innan
buggfixen släpptes. Det handlar om allt från Yahoo, Flickr och Steam
till utländska och svenska tidningssajter. Servrar hos Amazon hör till
de drabbade, vilket bland annat ledde till att svenska spelsuccén
Minecraft plockade ner alla sina servrar för uppdatering under tisdagen.
Även Computer Sweden och IDG har tvingats täppa till hålet. Potentiellt
handlar det om åtskilliga miljoner känsliga uppgifter som kan ha
exponerats.

Däremot verkar varken Google, Facebook eller Wikipedia, för att nämna några, ha varit drabbade.

 

Vad kan en vanlig användare göra för att skydda sig?

Inte mycket. Men grundläggande är att byta lösenord på de sajter och
tjänster där känslig eller personlig information förekommer, oavsett om
det är e-post, chattjänster eller inloggningar till tidningssajter eller
sociala medier.

Det går också att kontrollera om en viss tjänst har täppt till hålet eller ej på en särskild "Heartbleed checker" som satts upp för ändamålet. Sajter som fortfarande är exponerade bör över huvud taget inte loggas in på.

 

Vad ska en systemadministratör göra?

Alla serverägare måste omedelbart, helst i förrgår, uppdatera Openssl
till version 1.0.1g. Dessutom bör nya ssl-certifikat utfärdas, även om
det är krångligt och tar tid. Säkerhetsexperter som Computer Sweden
talat med rekommenderar även att dela ut nya lösenord till samtliga
användare.


Mer information/källor:

Heartbleed

Internet Storm Center

Tor

Cert-SE

The Guardian

Gigaom

Ars Technica 

Inga kommentarer:

Skicka en kommentar