Selvom den værste password-paranoia måske er ved at lægge sig oven på opdagelsen af sikkerhedshullet Heartbleed, så er problemerne langtfra overstået. Faktisk kan det se ud, som om de først lige er begyndt.
Ifølge The Washington Post kan hackere nemlig udnytte sårbarheden i OpenSSL til at stjæle et websteds sikkerhedscertifikater. Dermed kan de skabe falske hjemmesider, der efterligner legitime steder – eksempelvis din mail-klient. Og hvis det sker, så hjælper det ikke meget at udskifte sine kodeord.
»Forestil dig, at vi fandt ud af, at alle de døre, som alle bruger, er usikre. De kan brydes ned. Det er kun de kriminelles fantasi, der sætter grænser for, hvad man kan bruge dette her til,« udtaler Jason Healey, der er sikkerhedsekspert i den amerikanske tænketank Atlantic Council.
Nettet bliver langsommere
Selvom Heartbleed har gjort internetbrugernes kodeord usikre i to år, før det blev opdaget, så er der heldigvis ikke offentliggjort nogen eksempler på, at sårbarheden er blevet udnyttet. Alligevel står de omkring 500.000 påvirkede websites foran et gigantisk oprydningsarbejde.
Der skal nemlig annulleres sikkerhedscertifikater – og udstedes nye. Og det er en proces, der på godt dansk kan gøre internettet langsommere.
Når man besøger en sikker hjemmeside, tjekker din browser sidens sikkerhedscertifikater og holder dem op imod en liste af annullerede ditto. Den liste downloades normalt til computeren, men da siderne sjældent udskifter certifikater, er listerne som regel korte.
Det ændrer sig nu, da siderne skal skifte alle certifikaterne ud.
»Hvis en certifikat-myndighed skal annullere 10.000 certifikater, så vil listen have 10.000 certifikater på den. Og hvis browsere skal downloade det, så taler vi om flere hundrede megabyte,« udtaler sikkerhedseksperten Paul Mutton fra Netcraft.
Populære sider som Facebook, Netflix og Dropbox er alle i gang med at udskifte sikkerhedscertifikater som følge af Heartbleed.
Leave a Reply