Heartbleed-fejlen: Skift dine passwords. NU!!

Af Dorte Toft 5

Tilføjet 1.5.2014: Nets har oplyst, at den katastrofale Heartbleed-fejl ikke har ramt NemID og Dankortet.

Den nok mest alvorlige sårbarhed på nettet nogensinde bør få dig til at ændre dine passwords, ikke mindst hvis du f.eks. bruger Facebook, Gmail og Dropbox. Sårbarheden har fået navnet Heartbleed.

Heartbleed rammer mange af de populære websteder, fordi de bruger krypteringsfunktionen OpenSSL for at sikre netop sikkerheden. Fejlen ligger i programmeringen af OpenSSL.

“Låsen” til de beskyttede data kan sættes ud af spil. Det bevirker, at bagmænd ubemærket kan stikke stikke snablen ned i serveres memory og suge data ud. Data om passwords, data om kreditkort, data om alt det, der netop skulle være beskyttet af kryptering. Og det kan gøres gang på gang. Ubemærket.

Schneier: En katastrofe

Nettet summer med beskrivelser af sårbarheden, konsekvenserne heraf, og hvad man skal gøre. En verdens mest respekterede sikkerhedseksperter, Bruce Schneier, betegner Heartbleed som katastrofalsk. På en skala fra 1-10 giver han sårbarheden 11!

Mediet Mashable har f.eks. taget direkte kontakt til alle de store web-sites og tjenester og spurgt, om deres servere blev ramt, om de har udbedret problemet, og om deres brugere bør ændre passwords. Studer Mashable-oversigten her nøje.

Better safe than sorry

Fra både Facebook og Gmail lyder tilbagemeldingen til brugerne, at det er klogt at ændre passwords, selv om man har fået taget forholdsregler på sine servere. “Better safe than sorry”, siger de. Men tjek listen hos Mashable for de ting, netop du bruger.

Ikke alle steder har meldt tilbage, f.eks. ikke den populære Evernote, men skift password. “Better safe than sorry”.

LinkedIn og MS uden for farezonen

Af Mashable fremgår også, at OpenSSL (en Open Source-version af Secure Socket layer) ikke bruges alle steder. LinkedIn bruger f.eks. ikke OpenSSL, så der er ingen ko på isen. Microsoft heller ikke, så Hotmail/Outlook-kunder behøver ikke at skifte password der.

Google har heller ikke været udsat på alle fronter. F.eks. er hverken browseren Chrome eller operativsystem Chrome berørt.

Bruger du Amazon.com og PayPal skulle du også være sikker. Men er dit firma en af dem, der bruger serverkraft hos Amazon, skal du få kigget nærmere på det.

Rådgivning på dansk

På dansk kan dem, der har servere i farezonen, hos Version2 læse nærmere råd om, hvad der skal gøres.

Forhåbentlig får vi også en oversigt over de flittigt benyttede danske sites og tjenster, om offentlige eller private.

Der er i øvrigt oprettet et helt specielt engelsksproget website udelukkende om Heartbleed, hvor der forklares og gives svar på de oftest stillede spørgsmål.

Ifølge det anvender det populære webserversoftware Apache og nginx begge OpenSSL og netop disse to typer serveresoftware ligger på 66 pct. af verdens servere (jf. Netcrafts undersøgelse, April 2014).

5 kommentarer RSS

  1. Af Jonny Myren

    -

    Denne saken vakte stor oppsikt i norske medier i går, etter at “Nasjonal sikkerhetsmyndighet” gikk ut og anbefalte folk å skifte passord. Jeg er overhodet ingen sikkerhetsekspert, og jeg når selvsagt ikke deg til anklene en gang. Men jeg kan skrive litt om hva norske medier har meldt. Først gikk norske medier ut og anbefalte alle å skifte sine passord. NRK valgte å forenkle så kraftig at det ble fordummende (kalte bl.a. sikkerhetshullet for “virus”). I dag går Telenor ut og ber alle sine norske kunder om å bytte passord. Men det virker som man har landet på dette, nå når den første panikken er over: De berørte selskapene må først oppdatere egen programvare og deretter kan folk bytte passord. Dette forutsetter at alle de berørte selskapene informerer sine kunder. Kunder som har vært tidlig ute med å endre passord, må derfor endre passord enda en gang, og da først etter at leverandøren har foretatt de nødvendige endringer i egen programvare.

  2. Af Jørgen Ramskov

    -

    Citat: Ikke alle steder har meldt tilbage, f.eks. ikke den populære Evernote, men skift password. “Better safe than sorry”.

    Efter hvad jeg har forstået, så bør man vente med at skifte password indtil et firma har meldt ud at de har opdateret deres systemer. Man kan selvfølgeligt også skifte nu og derefter skifte igen når de har meldt noget ud.

    Evernote har i øvrigt meldt ud at de ikke bruger OpenSSL: http://blog.evernote.com/blog/2014/04/10/evernote-service-unaffected-openssl-bug/

  3. Af Dorte Toft

    -

    @Jonny Myren. Sært, hvad der gør, at der er tidlig opmærksomhed hos datatilsyn og medier i Norge, men ikke i Danmark. Tak for oplysningerne.

    @Jøren Ramskov. Godt at vide, at Evernote nu også har meldt tilbage om, at man ikke benytter OpenSSL og at ingens data derfor er i fare. Vedr. det med at skifte passwords for andre, så vil jeg næsten tro, at man gør klogest i at gøre det nu, og så gentage det, når det står klart, at alle har fået rettet serversoftwaren. Men jo svært at få overblikket.

  4. Af Kim Pichard Nielsen

    -

    IT-sikkerhed er ikke noget man leverer og så går sin vej – nej, for at løsningerne skal være effektiv skal de løbende vurderes og tilpasses de udfordringer som kommunikation med omverdenen nu en gang giver. Derfor forstå nu at tvungen skift og høj kompleksitet af password er den eneste vej frem – selvom det er møg irriterende.

  5. Af Hallo. Tænk ikke kun på Se & Hør, men også på borgerne. | Bizzen - IT & Business

    -

    [...] Danmark? Tja, tja, bum, bum. Var NemID ramt? Var Dankortet? Var [...]

Skriv kommentar

Kun fornavn og efternavn bliver vist i forbindelse med kommentaren. Dog skal alle felter med * (stjerne) udfyldes

Læs vilkår for kommentarer og debat på Berlingske Tidendes websites

RETNINGSLINJER

Berlingske ønsker at sikre, at debatten på b.dk føres i en ordentlig tone, som gør det inspirerende og udfordrende for alle at bidrage og deltage. Vi efterlyser gerne klare, skarpe, holdningsmæssige stærke indlæg med stor bredde og mangfoldighed og kritisk blik på sagen. Men vi accepterer ikke indlæg, som er åbenlyst injurierende, racistiske, personligt nedgørende. Sådanne indlæg vil fremover blive slettet. Det samme gælder indlæg, der ikke er forsynet med fuldt og korrekt navn på afsenderen, men som indeholder forkortede navne, opdigtede eller falske navne.

Vi opfordrer samtidig alle debattører til at gøre redaktionen opmærksom på indlæg, som ikke overholder disse retningslinjer.

Redaktionen

Yderligere info