Foreløbigt har vi kun set toppen af isbjerget, når det kommer til konsekvenserne af det store sikkerhedshul i OpenSSL med tilnavnet Heartbleed. Det vurderer flere eksperter.
Blogger på Version2 med forstand på it-sikkerhed Henrik Kramshøj fra Solido Networks peger på, at der i første omgang primært har været fokus gængse web-servere på nettet, som besøgende kan surfe forbi. Men bag dem er der et hav af web-baserede tjenester, der udveksler data mellem hinanden på kryds og tværs – eksempelvis i forhold elektronisk sags- og dokumenthåndtering inden for det offentlige. Og det kan også foregå via SSL, særligt hvis der er er tale om personfølsomme data.
Uden at kunne sætte et eksakt tal på, formoder Henrik Kramshøj at en del af disse er OpenSSL-baserede forbindelser, hvor følsomme informationer bliver udvekslet mellem blandt andet offentlige it-systemer.
»Det vil være sandsynligt, at vi finder flere områder, hvor det vil få indflydelse, og som vi ikke i første omgang troede var sårbare. Nu er vi ved at komme over den første bølge med HTTPS på web-serveren, nu skal vi gennemgå andre steder, hvor der bliver brugt SSL,« siger Henrik Kramshøj
Han påpeger, at også mailservere i den forbindelse kan være ramt af sårbarheden.
»Vi har kun set toppen af isbjerget. Der kommer til at vælte flere skeletter ud af skabet,« siger Henrik Kramshøj og nævner i den forbindelse at også klienter – altså ikke kun servere – kan være sårbare overfor Heartbeat-angrebet.
Og det er ikke nødvendigvis lige til at lukke Heartbleed-hullerne i de eksempelvis XML-baserede webservices, der udveksler informationer på kryds og tværs og er afhængige af hinandens oppetid.
»Hvis der er fejl i de systemer, vil det formentlig tage en uge at rette op på. Der er ikke rigtigt nogen, der har styr på, hvordan det hænger sammen i de store setups (webservices, red.), og så er man bange for det knækker.«
Peter Kruse fra it-sikkerhedsvirksomheden CSIS bruger også udtrykket toppen af isbjerget med henvisning til, at de mere omsiggribende konsekvenser af Heartbleed-sårbarheden har endnu tilgode at vise sig.
»Alle elektroniske sagsbehandlingssystemer, alle systemer, hvor folk bestiller tid hos lægen, tandbehanglinger. Alle sammen er der jo krav til, fordi CPR-nummeret ikke må sendes ukrypteret i backend-systemerne, at man laver SSL-kryptering af de data (og dermed potentielt blotlægger data for uvedkommende, red.),« siger Peter Kruse og fortsætter:
»Der er vildt mange facetter her. Og så er der vildt mange enheder, med embeddede operativsystemer, som har en implementering af OpenSSL, der er sårbar. Det bliver et mareridt at få opdateringer rullet ud.«
Og netop hvad de embeddede enheder angår kan det vise sig som en omfattende opgave at sørge for, de bliver opdaterede. Embeddede enheder kan eksempelvis være tv-apparater, routere, firewalls og så fremdeles. Og nogle af disse apparater vil næppeuden videree kunne opdateres.
»Der vil være masser af enheder, som man ikke ville forvente var sårbare, men hvor der har været et krav om kryptering. Og så har man brugt det mest populære bibliotek til det, og det er nu engang OpenSSL.«
Og der er noget om snakken. Cisco har netop været ude med en melding omhandlende en stribe af virksomhedens produkter i kølvandet på Heartbleed-sårbarheden, ligeså har Synology, der begår sig inden for storage-løsninger været ude med en pressemeddelelse om en opdatering som følge af Heartbleed.
Leave a Reply