Google finder nyt kritisk nethul

Gammel men meget anvendt krypteringsmetode til at sikre internetforbindelsen mod hackere har et alvorligt sikkerhedshul - den tredje alvorlige internettrussel fundet i år.

En gammel men meget brugt krypteringsteknologi til at sikre netforbindelsen og beskytte folks data, SSL 3.0, viser sig at kunne hackes. Arkivfoto: Iris/Scanpix Fold sammen
Læs mere
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Tre cybereksperter hos internetgiganten Google har fundet en alvorlig sikkerhedsfejl i en meget brugt teknologi, der krypterer og dermed skulle beskytte internetforbindelsen mod hackere, men i stedet kan hackere nu direkte overtage og bruge e-mailkonti, bankkonti og andre tilsvarende nettjenester.

Sikkerhedsfejlen, der har fået navnet »Poodle«, er fundet i den vidt udbredte SSL-kryptering, nærmere bestemt i SSL 3.0-versionen, som er 15 år gammel og fungerer som standard for, hvordan man beskytter forbindelsen mellem en computer og den internetserver, som den kommunikerer med.

I praksis kan hackere stjæle de cookier - små tekststumper -, som lagres på computeren gennem internetprogrammer som Internet Explorer, Firefox, Safari, Opera, Chrome m.fl.

Cookier er små styrefiler, som bruges til at tilpasse netsteder efter ens interesser og seneste besøg og f.eks. gemmer oplysninger om, hvilket sprog man ønsker at se siden på.

Der er dog ingen tegn på, at Poodle-sikkerhedsfejlen har været udnyttet af hackere.

Tredje alvorlige fejl i år

Det er tredje gang i år, at der bliver fundet alvorlige sikkerhedsfejl i vidt udbredte netteknologier, men den nye fejl vurderes ikke at være lige så alvorlig som de to tidligere.

I april blev »Heartbleed«-fejlen fundet i OpenSSL-teknologien, der også bruges til at sikre forbindelser og dermed de oplysninger, som sendes gennem dem.

Heartbleed-fejlen påvirkede omkring to tredjedele af Internet og blev ligeledes fundet af Googles hold. I september viste Unix-softwaren Bash sig at rumme »Shellshock«-fejlen, som har fandtes upåagtet i to årtier.

Krypterede eller kodede forbindelser bruges i stadig større omfang og fik et ekstra skub fremad oven på den tidligere efterretningsansatte Edward Snowdens afsløringer siden sommeren 2013 af omfattende amerikanske aflytning og overvågning gennem den skandaleramte efterretningstjeneste NSA.

En krypteret forbindelse bruges f.eks., når man skal i netbanken herhjemme, og kan kendes ved, at adressen i adresselinien begynder med »https:« med et -s til sidst (for »sikret«) mod normalt blot »http:«.

Vil blive slået fra

Google-teknikerne siger, at der findes en måde at sikre netservere på trods fejlen, men de vil arbejde på at fjerne SSL 3.0 fra al software. Firefox-producenten Mozilla vil allerede slå SSL 3.0 fra, når den nye udgave af Firefox kommer 25. november.

Softwaregiganten Microsoft anbefaler, at man slår SSL 3.0 fra på alle Windows-servere og Windows-PCer.

SSL 3.0 er blevet overhalet indenom af den såkaldte Transport Layer Security (TLS).