Brand i medicinalfabrik på Amager: gå indendøre. Svindel med danskernes betalingskort i Sydamerika: vær opmærksom på dine kontoudtog. Vi kender alle meddelelserne fra radio og tv om, hvordan vi bør forholde os i den slags situationer.
I skærende kontrast står de officielle udmeldinger, eller rettere mangel på samme, i forhold til den såkaldte Heartbleed-sårbarhed, der har påvirket adskillige servere på internettet, uundgåeligt også i Danmark. Og som i princippet har gjort det muligt for enhver at fiske fortrolige oplysninger ud af serveres hukommelse om brugernavne, passwords, mail-indhold og så fremdeles. Nærmest kun fantasien sætter grænser.
Sårbarheden har eksisteret i det udbredte OpenSSL-bibliotek siden 2012, som ellers netop skulle sikre kommunikationen med servere, men reelt har bevirket det modsatte.
Mens Heartbleed har fået folk med forstand på it-sikkerhed verden over helt op at ringe, har der ingen officielle udmeldinger været fra danske myndigheder – såvidt Version2 har kunnet finde frem til – om, hvordan almindelige borgere bør forholde sig i forhold til Heartbleed-sikkerhedshullet. Ligesom der tilsyneladende heller ingen meldinger har været om, hvilke offentlige digitale tjenester, der eventuelt har været berørt af sårbarheden – som dermed også vil have berørt de borgere, der har været i kontakt med tjenesterne.
Version2-blogger med forstand på it-sikkerhed Henrik Kramshøj fra Solido Networks var tidligt ude med et blogindlæg om Heartbleed. Og han har efterfølgende slået til lyd for, at folk – over en bred kam – bør skifte deres kodeord, da sandsynligheden taler for, at mange har været i berøring med kompromitterede servere.
Læs også: Opdater OpenSSL – og dit OS nu
Og han undrer sig over, at det er folk som ham, der skal råbe vagt i gevær, mens der ingen officielle udmeldinger har været fra myndigheder:
»Nogen burde være ude og fortælle om det. En af årsagerne til, at de ikke gør det, kan være, de er bange for, at det vil skabe utryghed. Men man kan ikke stikke hovedet i busken altid. Vi skal have det ud så bredt som muligt, det er vi nødt til,« siger Henrik Kramshøj.
Meldingen bakkes op af Ulf Munkedal, direktør i it-konsulent-virksomheden FortConsult. Han peger på, at det kan være uafklaret, hvilket myndighed der har ansvaret for at komme med en generelt udmelding i en situation som den nuværende.
»Jeg undrer mig også over, at der er helt tavst. Jeg går ud fra, det er fordi, man er igang med at finde ud af, hvad konsekvenserne er, og hvad man kan gøre ved det,« siger han.
Ulf Munkedal påpeger, at hvis tavsheden skyldes, at der mangler en ansvarsplacering for den slags udmeldinger, så skal det naturligvis også løses. Helst så ansvaret ligger hos en af de eksisterende myndigheder.
»Der er nok af dem. Det er ikke fordi, der mangler myndigheder, der arbejder med it-sikkerhed.«
Peter Kruse fra virksomheden CSIS efterlyser også en borgerrettet udmelding fra de danske myndigheder. Og i den forbindelse mener han, der i vores nabolande har været et langt større pressemæssigt fokus på problemstillingen blandt mainstream-medierne, end det foreløbigt har været tilfældet i Danmark.
»I Danmark tror jeg ikke, man har forstået, hvad det egentlig går ud på,« siger han.
Og når eksempelvis en myndighed som Digitaliseringsstyrelsen ikke har meldt generelt ud, gætter Peter Kruse på, at det kan skyldes, at de og andre myndigheder i første omgang har haft så travlt med at få afdækket og lukket sårbarheden i egne systemer, at borgerrettede udmeldinger simpelthen er kommet i anden række.
»Det er det offentlige Danmarks forbandede pligt at sørge for at gøre det her læsbart og forståeligt for borgerne og for pressen. Så folk kan forstå, hvad det er,« siger Peter Kruse og henviser til, at den manglende gennemslagskraft i forhold til Heartbleed-sårbarheden hænger sammen med, at den går hånd i hånd med ord som OpenSSL og private nøgler.
Varslingsorganisationen DK-CERT var tidligt ude med en melding omkring Heartbleed-sårbarheden. Men der er tale om en generel, kort meddelelse, der ikke er videre let at afkode for ikke-it-kyndige personer. Siden – i går og i dag – har der været to andre korte meddelelser med informationer, der tidligere har været fremme i udenlandske medier. Heller ikke her, er der tale om tekst, der må formodes at give meget mening for den almindelige borger, som ej næppe heller finder frem til skrivelserne.
Version2 har kontaktet DK-CERT telefonisk og via mail for en uddybning af virksomhedens rolle i forhold til den slags varslinger. Men organisationen har ikke givet svar.
Læs også: Digitaliseringsstyrelsen: Heartbleed-sårbarhed kan have alvorlige og omfattende konsekvenser
Desuden har Version2 været i kontakt med Center for Cybersikkerhed for at høre, om organisationen har tænkt sig at komme med en officiel udmelding – dette var i går, den 10. april, altså tre dage efter sårbarheden blev bredt kendt.
Efterfølgende, det vil sige i dag, har Center for Cybersikkerhed offentliggjort en ganske kort meddelelse om sårbarheden på organisationens hjemmeside, der ikke kan siges at være hverken videre informativ eller borgerrettet. Sidst Center for Cybersikkerhed offentliggjorde en nyhed på hjemmesiden var iøvrigt 27. marts.
»Center for Cybersikkerhed har siden 7. april 2014 fulgt situationen tæt og har varslet centerets kunder. De seneste dage er en nyopdaget sårbarhed i krypteringsprotokollen OpenSSL blevet dækket af danske og internationale medier. Center for Cybersikkerhed har siden 7. april 2014 fulgt situationen tæt og har varslet centerets kunder. Centeret har på nuværende tidspunkt viden om et fåtal af forsøg på udnyttelse af sårbarheden, men fortsætter med at følge situationen nøje,« står der på hjemmesiden..
Center for Cybersikkerheds pressefunktion oplyser, at ansvaret for at varsko borgere i den slags situationer ligger hos Digitaliseringsstyrelsen, myndigheden hvor blandt andet NemId hører under.
Digitaliseringsstyrelsen har tidligere fortalt til Version2, at situationen bliver taget alvorligt. Styrelsen er dog ikke vendt tilbage på en henvendelse om, hvorvidt der kommer en officiel melding fra myndigheden på tidspunkt. Eksempelvis i forhold til, hvordan borgere bør forholde sig.
Om Heartbleed
Heartbleed-sårbarheden relaterer sig til det udbredte OpenSSL-bibliotek, der skal skabe en sikker forbindelse til en server. Heartbleed blev offentligt kendt i april i år, men har eksisteret i OpenSSL til produktionsmiljøer siden 2012.
Sårbarheden gør det kort fortalt muligt for vilkårlige besøgende at sende en særlig datapakke til en server, hvorefter serveren returnerer dele af indholdet i sin hukommelse. Det kan i princippet være serverens private nøgler, andre besøgendes brugernavn og kodeord samt indholdet af eksempelvis e-mails, chat-beskeder etc.
Altså et eklatant it-sikkerhedshul, som har fået den anerkendte og nøgterne it-sikkerhedsmand Bruce Schneier til at kalde Heartbleed for katastrofal samt give sårbarheden 11 på en skala fra 1 til 10 målt på, hvad der må formodes at være alvorlighed.
Leave a Reply