Kæmpe sikkerhedshul rammer millioner af netbrugere

En brist i en krypteringsprotokol omtales som den værste i nettets historie. Millioner af brugere bør skifte kodeord, lyder vurderingen

Heartbleed buggen har blandt andet fået de canadiske skattemyndigheder til at lukke ned for indberetninger (Foto: REUTERS/Kacper Pempel)

Uvedkommende, hackere og diverse efterretningstjenester har i årevis kunnet lytte med og aflure kodeord fra flere banker, Googles og Yahoos tjenester og adskillige andre, der har brugt protokollen OpenSSL til at kryptere kommunikationen med.

Det står klart efter at Google og et sikkerhedsfirma forleden opdagede det, der er blevet beskrevet som en af de værste sikkerhedsbrister i internettets historie.

OpenSSL benyttes af fx Google til at kryptere kommunikationen mellem brugerens computer eller telefon og Googles tjenester på nettet. Det skal eksempelvis sikre, at uvedkommende ikke kan lure med, når dit kodeord til Google sendes afsted via kablerne.

Det er dog ikke alle versioner af OpenSSL, der er ramt.

Ikke engang et skiftet password er nok

Fejlen er blevet døbt 'The Heartbleed bug', og har i nogle år har givet uvedkommende mulighed for at lure med, omend der ikke er fundet beviser på, at det faktisk er sket.

Nyhedstjenesten CNET har publiceret en liste over de websteder, der er ramt af sikkerhedsbristen og har lappet hullet. Også sitet Mashable har lavet en liste over ramte webtjenester, herunder de enkelte tjenesters svar på spørgsmålet om, hvad de har gjort ved det. Også den store lagertjeneste DropBox ser ud til at være er ramt.

Brugere af de ramte tjenester bør dog, selv om tjenesterne har lappet hullet, alligevel skifte deres passwords til tjenesterne.

Ikke engang det er dog nok til at man kan sove roligt om natten. Problemet findes nemlig på serversiden - altså hos selve webserverne, der skal have opdateret softwaren, før de kan anses for at være sikre. Har de ikke lappet hullerne, kan også det nye password opsnappes.

Flere har dog allerede lappet

Både Google, Yahoo, Facebook og flere andre af de store udbydere har dog allerede lappet hullerne. Men en række andre mindre netsteder har endnu ikke rettet fejlen.

Problemerne med det hullede OpenSSL bør ikke overses, mener sikkerhedseksperten Bruce Schneier.

- Det er en katastrofe. På en skala fra 1 til 10, er dette 11, skriver han på sin blog

Bruce Schneier regnes for at være en af verdens førende eksperter i kryptering - og selv hans eget netsted var ramt.

Man kan teste et givent websteds sikkerhed via dette link.

Problemernes omfang er endnu usikkert - men nogle har vurderet, at mindst en halv million af nettets ofte brugte tjenester, kan være ramt.

Umuligt at finde ud af

Det er helt umuligt for brugerne at finde ud af, om deres oplysninger er stjålet. Hvis de er, kan det både være passwords og eksempelvis også kreditkortinformation.

Mens det er almindelig sund fornuft at skifte sine kodeord jævnligt, er der ikke fundet beviser på, at nogen har misbrugt hullet i OpenSSL-protokollen. Der er altså endnu ikke fundet eksempler på, at kriminelle nåede at finde hullet før sikkerhedsfolkene.

Alligevel rapporter flere sikkerhedseksperter om, at opdagelsen af hullet har udløst en sand fest hos hackerne, der nu systematisk leder efter ramte webservere.

- På grund af kompleksiteten og sværhedsgraden i at opgradere mange af de berørte systemer, vil denne sikkerhedsbrist være på radaren hos angriberne i flere år frem, siger Mark Maxey, der er chef hos sikkerhedsfirmaet Accuvant til Reuters.

Også den finske sikkerhedsekspert Miko Hypponen fra selskabet F-Secure, advarer.

- Pas på dine passwords, hvis de er meget vigtige for dig. Skift dem eventuelt nu, og igen om en uge. Hvis du er bekymret for dine kreditkort, så tjek kontoudskrifterne meget grundigt, siger han.

Facebook
Twitter