Heartbleed, et sammendrag av sikkerhetshullet og dets konsekvenser

[et_pb_section admin_label="Seksjon" fullwidth="on" specialty="off"][et_pb_fullwidth_post_title admin_label="Innleggstittel i full bredde" title="on" meta="on" author="off" date="on" categories="off" comments="on" featured_image="off" featured_placement="below" parallax_effect="on" parallax_method="on" text_orientation="center" text_color="dark" text_background="off" text_bg_color="rgba(255,255,255,0.9)" module_bg_color="rgba(255,255,255,0)" title_all_caps="off" use_border_color="off" border_color="#ffffff" border_style="solid"] [/et_pb_fullwidth_post_title][et_pb_fullwidth_image admin_label="Bilde i full bredde" src="http://envide.no/wordpress/wp-content/uploads/2014/04/Heartbleed.jpg" show_in_lightbox="off" url_new_window="off" animation="off" use_border_color="off" border_color="#ffffff" border_style="solid" custom_css_main_element="max-height: 500px;"] [/et_pb_fullwidth_image][/et_pb_section][et_pb_section admin_label="section"][et_pb_row admin_label="row"][et_pb_column type="4_4"][et_pb_text admin_label="Tekst" background_layout="light" text_orientation="left" use_border_color="off" border_color="#ffffff" border_style="solid"]

 

De fleste har vel fått med seg Internettkatastrofen Heartbleed, men hva er det egentlig som har gått galt? -Og, ikke minst; hva kan du gjøre for å sikre deg?

Dette innlegget er basert på tre eminente artikler;

• How Heartbleed Works: The Code Behind the Internet's Security Nightmare på Gizmodo,
• Slik sjekker du hvem som er rammet av Heartbleed på Teknisk Ukeblad,
• What the Heartbleed Security Bug Means For You på LifeHacker.

Hvordan Heartbleed lekker data

(Basert på How Heartbleed Works: The Code Behind the Internet's Security Nightmare på Gizmodo)

Da de dette er skrevet for er  flinkere i eget yrke enn koding av sikkerhetsnøkler på Internett oversetter jeg raskt analogien Gizmodo bruker for å forklare problemet:

Se for deg at du har en haug med bilder, og at du går til en butikk for å få en eske å oppbevare bildene i. Fyren som driver butikken er utrolig dum, og kan overhodet ikke telle. (Egentlig er dette du (som via https og sikkerhetsnøkler basert på OpenSSL) logger deg inn i banken din sin sikre nettside med brukernavn og passord. Fyren i butikken representerer bugen (feilen) i sikkerhetsnøklene.)

Du går inn i butikken med 100 bilder, slenger de på disken, og sier "Jeg har 100 bilder." Butikkeierens øyne lyser opp. "Jeg har en eske som passer!" sier han. "Jeg har en eske til akkurat 100 bilder!" Han finner frem en eske fra under disken og sier "Her er den! Noen la den igjen her full av bilder, men ingen trenger de lenger." (Bildene som allerede er i esken er analogien til data som ligger igjen på bankserveren fra tidligere kunder som har logget seg inn med brukernavn og passord.)

Butikkeieren tar et bilde ut av esken, brenner det, og putter ett av dine bilder oppi. Dette gjentar han helt til han ikke har flere bilde å putte oppi. Når han er ferdig er esken full av dine bilder, og han gir den over til deg. Du har nå en eske full av dine bilder, og alle de gamle bildene er ødelagt. Hurra! En ryddig liten 1:1-utveksling.

Men se nå for deg at du i stedet for å gi ham 100 bilder kun gir ham ett bilde. Du går opp til kassen, gliser ondskapsfullt, slenger det ene bildet på disken og sier "Jeg har 100 bilder". Butikkeieren har, som sist, en eske, og finner frem en som allerede er fyllt av 100 bilder som andre la igjen. Nok en gang tar han et bilde ut av esken, brenner det, tar ditt og putter det oppi. Men så, siden han er tom for bilder allerede etter ett bilde, og fordi han er helt ufattelig dum og virkelig ikke kan telle i det hele tatt, så antar han at jobben er utført og overrekker esken til deg. Nå med ett av dine bilder, og 99 av noen andres. Han stolte på deg til tross for alle signaler på at det du sa var galt.

Dette betyr at du går ut av butikken med 99 bilder du ikke eier, og kanskje ett av de er av en naken person. Bingo! -Eller enda bedre: Butikkeieren er så dum at han ikke ser forskjell på ingen bilder i det hele tatt og riktig antall bilder. Det klarer seg at du sier du gir ham 100 bilder, så får du en eske med 100 av andres bilder tilbake.

Som du sikkert skjønner representerer disse bildene data. Noen ganger kan disse bildene settes sammen og danne f.eks et passord, en e-postadresse eller et brukernavn. Eller nøkkelkode til et sikkerhetssystem og det som verre er. Utvalget du får av bilder er alltid tilfeldig, men du kan spørre etter esker så mange ganger du vil, og til slutt kommer det noe godt ut av det.

Det er dette lugubre mennesker som kjenner til Heartbleed kan gjøre: Gjenta forespørsler til servere i det uendelige, inntil serverne svarer med verdifulle data.

En feilfix er selvfølgelig allerede sendt ut, og servere over hele verden oppdateres for tiden fortløpende. (Ja, over hele verden. Et estimat er at to tredjedeler av verdens servere er sikret med OpenSSL, hvori feilen ligger.)

Er du utsatt?

(Basert på Slik sjekker du hvem som er rammet av Heartbleed på Teknisk Ukeblad.)

Det korte svaret er ja. Google og Facebook er tilsynelatende ikke rammet, men siden bugen har vært tilstede i flere år er det ingen som kan vite noe sikkert før selskapene kommer med en offentlig uttalelse.

Teknisk Ukeblad har kommet over et fint verktøy de skriver om i artikkelen sin. På http://filippo.io/Heartbleed/ kan du sjekke om de netttjenestene du bruker fremdeles har sikkerhetshullet stående åpent (og blødende).

Hva kan du gjøre?

(Basert på What the Heartbleed Security Bug Means For You på LifeHacker.)

Bare så det er sagt med én gang: Det skader aldri å bytte passord! Men dessverre løser det heller ingenting i dette tilfellet. I allefall ikke før de som eier de utsatte nettstedene oppdaterer serverne sine med feilfixen. Derfor er rådet til LifeHacker det beste jeg har sett så langt. Dessverre.

• Unngå, så sant det er mulig, å logge deg inn på sider du ikke vet aldri har vært berørt av sikkerhetsfeilen.
• På sider som har vært sårbare, men som gir deg beskjed om at de ikke er det lengre: Bytt passord så snart du får beskjeden. (Bytt gjerne før også, men som sagt; det løser ingen ting.)
• På sider som tilsynelatende ikke er sårbare, men som ikke kommer med noen uttalelse om hvorvidt de har vært det tidligere: Bytt passord.

Avslutningsvis; er du over gjennomsnittet teknisk interessert er dette siden for deg: Heartbleed.com.

 

[/et_pb_text][/et_pb_column][/et_pb_row][/et_pb_section]