Sikkerhetshullet: Tips til systemansvarlige

Det gigantiske hullet i IT-sikkerheten som nylig er oppdaget i kommunikasjonen mellom nettsteder og brukere kan være det alvorligste bruddet på IT-sikkerheten i internettets historie. Dersom du er systemansvarlig bør du lese dette.

openssl-573x321

Det er vanlig “Best Pratice” å bytte passord hver annen eller hver tredje måned. Har du ikke innført dette på din arbeidsplass så gjør det nå.

Men dette handler om langt mer enn bare passord.

Det er ikke mulig å fastslå hvilke nettsteder eller plattformer som som er rammet, eller hvilke data som eventuelt er stjålet.

Det viktigst i øyeblikket er å tette hullet og prøve å begrense skadene.

En åpen låvedør

Ifølge Nasjonal Sikkerhetsmyndighet (NSM)  gjør den såkalte “Heartbleed Bug” det mulig for omtrent hvem som helst å stjele informasjon som er beskyttet – under normale forhold med det som kalles SSL/TLS -kryptering.

“Heartbleed Bug” gjør at det går an å lese minnet til systemer som benytter de sårbare versjonene av OpenSSL-programvaren, og dermed omgå de hemmelige nøklene som brukes til å identifisere tjenesteyterne og den kryptere trafikken.

Både brukernavn og passord, samt det faktiske innholdet i kommunikasjonen kan fanges opp. Dette gjør det mulig for angripere å:

– avlytte kommunikasjon

– stjele data direkte fra tjenestene og brukere

– å utgi seg for å være tjenester og brukere.

“Sårbarheten tillater angriper å hente ut deler på 64KB fra minnet til server eller klient som kjører den sårbare versjonen av OpenSSL. Denne metoden kan repeteres, dette vil si at man teoretisk kan dumpe minnet rundt prosessen, samt all trafikk som går gjennom TLS-tunellen,” skriver NSM på sin hjemmeside.

Ingen spor

Det er tre dager siden OpenSSL Project kom ut med følgende sparsommelige melding:

open-ssl-573x306

Men først i går slo Nasjonale Sikkerhetsmyndigheter alarm etter at det ble kjent at så mange som 10.000 norske servere er berørt.

Sikkerhetseksperter antar at “Heartbleed Bug” har holdt døren vid åpen for hackere og datakriminelle i cirka to år.

Om noen har benyttet seg av det, og hvilke data som eventuelt er stjålet, er ikke mulig å finne ut av fordi denne typen trafikk på nettet ikke loggføres noe sted.

Med andre ord: Skadene kan allerede være skjedd.

Dette gjør du nå

Dersom du eier et datasystem eller driver en eller flere nettsteder bør du først sjekke hvilken versjon av OpenSSL du har installert og eventuelt oppdatere programvaren. Dette svært er viktig!:

Følgende versjoner er sårbare:

OpenSSL 1.0.1 til og med 1.0.1f. (Versjon 1.0.1 ble utgitt i 2012).

Kjente distribusjoner og pakkeversjoner som har denne sårbarheten inkluderer:

– Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4

– Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11

– CentOS 6.5, OpenSSL 1.0.1e-15

– Fedora 18, OpenSSL 1.0.1e-4

– OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) og 5.4 (OpenSSL 1.0.1c 10 May 012)

– FreeBSD 8.4 (OpenSSL 1.0.1e) og 9.1 (OpenSSL 1.0.1c)

– NetBSD 5.0.2 (OpenSSL 1.0.1e)

– OpenSUSE 12.2 (OpenSSL 1.0.1c)

Flere av disse har distribuert oppdaterte pakker.

Sårbarheten er fikset i versjon 1.0.1g som ble utgitt 7. april 2014. Versjoner eldre enn 1.0.1 er ikke sårbare.

Systemansvarlige bør:

1. Sjekke om det finnes oppdaterte pakker til deres system.

2. Oppdatere om nødvendig.

3. Eventuelt kompilere OpenSSL uten heartbeat-utvidelsen.

4. Det er ellers mulig å revokere (tilbakekalle) nøkler forbundet med servere hvor OpenSSL installert.

 

NSM anbefaler dessuten at tjenesteleverandører som har en sårbar versjon av OpenSSL, og som har kunder med en eller annen form for  innloggingstjeneste,  om å oppdatere, varsler brukerne og anbefale bytte av passord.

 Nyttige lenker

* Se veileder fra Difi for hvordan offentlige virksomheter kan gjøre egne vurderinger og håndtere sårbarheten.

* Se informasjon fra NorSIS om sårbarheten.

* Se fire effektive tiltak mot dataangrep fra NSM.  

* Mer informasjon om «Heartbleed», hvordan feilen fungerer og kan stoppes, samt en omfattende liste med «Spørsmål og svar» finnes på heartbleed.com.

Les også: Ny teknologi gjør småbedrifter sårbare

For privatpersoner

– Det er viktig at du oppdaterer programvaren på PC-en din umiddelbart når du får varsel om dette. Ikke utsett – gjør det nå

– Ha et bevisst forhold til hvilke passord du bruker – nå som alltid

– Er du i tvil, spør de tjenesteleverandører du bruker, og hør på hva slags beskjeder du får fra dem

Foreløpig er det ingen grunn til panikk – men vær bevisst omkring sikkerhet når du ferdes på nettet og ta dine forholdsregler.

innholdspesialisten@frodehaukenes.no

Advertisements

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut / Endre )

Twitter picture

Du kommenterer med bruk av din Twitter konto. Logg ut / Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut / Endre )

Google+ photo

Du kommenterer med bruk av din Google+ konto. Logg ut / Endre )

Kobler til %s