Denne gang kom ulven. Den sårbarhed, der har befundet sig i flere udgaver at det udbredte OpenSSL-bibliotek siden 2011 bør give anledning til, at folk over en bred kam udskifter deres kodeord. Det mener Version2-blogger med forstand på it-sikkerhed, Henrik Kramshøj fra Solido Networks.
»Internettet er gået helt bagover. Det er ret alvorligt, det må man sige,« siger han.
Da OpenSSL er særdeles udbredt og blandt andet bliver anvendt i den populære Apache-webserver, taler sandsynligheden for, at adskillige brugere verden over uforvarende har været i kontakt med en sårbar server. Det er eksempelvis kommet frem, at Yahoo og Flickr har været berørt af sårbarheden.
Det betyder i udgangspunktet også, at brugernes brugernavn og password kan være havnet i hænderne på uvedkommende.
Derfor opfordrer Henrik Kramshøj i udgangspunktet alle til at skifte kodeord. Og i øvrigt vænne sig til at bruge forskellige kodeord og udskifte dem løbende, så alle kodeord eksempelvis er udskiftet efter ét år.
»Det vil være den sikre måde at gøre det på. Der er så mange services på listerne (over sårbare services, red.). Enten skal man gennemgå listerne og finde de services man bruger, eller også skal man bare sørge for at skifte passwords jævnligt.«
Sårbarheden, der er fikset i OpenSSL 1.0.1g fra april i år, relaterer sig til OpenSSL’s implementering af heartbeat-udvidelsen til TLS/DTLS-sikkerhedsprotokollerne, oplyser Codenomicon, virksomheden bag opdagelsen, på en hjemmeside om sårbarheden. Sårbarheden har fået navnet ‘heartbleed’, et ordspil på heartbeat.
Den bevirker – i princippet – at hvem som helst kan koble op til en sårbar server og få serveren til at returnere dele af sin hukommelse. Det vil blandt andet sige serverens private nøgle, som gør det muligt for en angriber at udgive sig for at være en valid server – også kaldet et man-in-the-middle-angreb. Men det bliver værre.
Med snablen nede i serverens hukommelse er det muligt at fiske brugernavne, kodeord og andet ud af serveren. Det er også den indholdet af chats, mails, serverkonfigurations-oplysninger osv. Altså data, som netop kan have været grunden til at beskytte serveren med SSL-kryptering i første omgang. Og det er med det i baghovedet, at Henrik Kramshøj i udgangspunktet opfordrer alle til at skifte deres kodeord.
Læs også: Opdater OpenSSL – og dit OS nu
»Det svarer til at sætte post-its med brugernavn og kodeord på serveren fra alle dem, der besøger dem, som så kan samles op bagefter.«
Henrik Kramshøj har selv skrevet en guide til, hvordan server-bestyrere bør forholde omkring sårbarheden. Han gætter, at mange har opgraderet eller er i gang med at opgradere deres server-software eller beskytte den på anden vis, blandt andet fordi medieopmærksomheden på OpenSSL-sårbarheden har været ganske intens.
Men der er stadig al mulig grund til at være på vagt, selvom der er en grøn hængelås eller noget der minder om det i browser-vinduet.
»Der er helt sikker en masse mennesker, der ikke har opfattet hvor alvorligt det her er – det er drønalvoligt,« siger Henrik Kramshøj.
Det er svært at vide, præcist hvor mange servere, der har været eller er berørt af problemstillingen. Ligesom sårbarheden ifølge Codenomicon kan udnyttes ganske diskret, så det slet ikke bliver registreret på serveren.
Leave a Reply