»Heartbleed« sender internettjenester til kontrol

Flere selskaber og organisationer har pt. travlt med at undersøge deres internettjenester for, om de er berørt af sikkerhedsbristen »Heartbleed«. Fredag afsluttede Digitaliseringsstyrelsen undersøgelsen af de fællesoffentlige løsninger og meddeler, at borgerne trygt kan bruge dem.

Sikkerhedsbristen Heartbleed er blevet opdaget i softwaren OpenSSL, som anvendes på servere til at kryptere sikre kommunikationen mellem en brugers telefon eller computer og den internettjenesten, de udbyder. Softwaren indeholder dele kaldet »heartbeat extension« eller RFC6520, som ifølge amerikanske Wall Street Journal kontrollerer, at forbindelsen mellem to servere er »i live«. Fold sammen
Læs mere
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Den omfattende sikkerhedsbrist »Heartbleed«, der blev opdaget i den forløbne uge som mulig fare for, at hackere kan tilkæmpe sig adgang til brugerdata på internettjenester, har sat IT-folk på overarbejde verden over for at få afskærmet brugerne for en potentiel fare.

Flere selskaber og organisationer bag internettjenester har allerede meddelt, at de har taget initiativ til at afskærme brugeren over for risikoen, eller at undersøgelser af deres systemer har vist, at de ikke er ramt af sårbarheden. Det gælder blandt andre internetgiganter som Facebook, Google, Yahoo og Twitter.

Herhjemme har Digitaliseringsstyrelsen undersøgt alle relevante løsninger - herunder de store såkaldte fællesoffentlige løsninger som NemID, NemLog-in, NemKonto, Digital Post og borger.dk - og kunne fredag meddelte, at borgerne trygt kan benytte de fællesoffentlige løsninger.

»De sikkerhedsmæssige vurderinger er nu afsluttet, og alle leverandører har meddelt, at ingen systemer er berørt af den omtalte sårbarhed. Borgerne kan med andre ord trygt anvende NemID og de offentlige selvbetjeningsløsninger,« fremgår det på Digitaliseringsstyrelsens hjemmeside, hvor styrelsen samtidig forklarer, at det er fast praksis at bede alle leverandører om at undersøge systemerne i forbindelse med, at nye sårbarheder opdages, eller trusselbilledet ændrer sig generelt.

Hos Nets, der netop står bag NemID og Dankort-systemet, lød meldingen da også i den forløbne uge, at selskabet var i gang med at undersøge systemer for, om de var berørt af »Heartbleed«. Fredag var den undersøgelse afsluttet, og den viste ifølge selskabets kommunikationschef Søren Winge efter en grundig sikkerhedsmæssig gennemgang af systemerne, at ingen af dem var ramt.

Heartbleed er blevet opdaget Google-folk og IT-sikkerhedsfirmaet Condenomicon i den forløbne uge i softwaren OpenSSL, der er en software, som anvendes til kryptering på servere, der »hoster« - eller opbevarer - internetsider.

Den krypteringsmetode anvendes af mange internetsteder til at sikre kommunikationen mellem brugernes telefon eller computer og den internettjeneste, de udbyder. 

Henover den forløbne uge kom der dog flere meldinger om, at det ikke alene var servere, som kunne være påvirket af sikkerhedsbristen, og ifølge nyhedsbureauet Reuters meddelte IT-sikkerhedsfolk, at dele af softwarens kode også var at finde andre steder - blandt andet software til internetforbundne enheder som mobiltelefoner og webkamera.

Den canadiske mobilproducent Blackberry har oplyst til Reuters, at selvom selskabet ikke anvender den pågældende software i Blackberry-produkterne, vil der fredag blive udsendt en sikkerhedsopdatering til to af selskabets apps, der anvendes på mobile enheder med styresystemerne iOS og Android. Det gælder programmerne Secure Work Space og BBM messaging.

Mens også netværksleverandørerne Cisco Systems og Juniper Networks oplyste til amerikanske Wall Street Journal, at sikkerhedsbristen kunne berøre nogle af deres produkter som routere, switches og firewalls, som ofte anvendes af virksomheder. Ifølge Wall Street Journal orienterede Cisco Systems sine kunder torsdag om, at snesevis af selskabet produkter var ramt af sårbarheden med risiko for, og at 65 produkter blev undersøgt, mens det var bekræftet, at 16 var berørt.

Fra Juniper Networks meddelte en talsmand, at det kan blive en langvarig proces at få opdateret udstyret mod sikkerhedsbristen, og at selskabet allerede havde udstedt opdateringer til dele af dets software til private netværk.

I USA har den amerikanske sikkerhedstjeneste Homeland Security officiel advaret om »Heartbleed« på sin hjemmeside.

»Mens der på nuværende tidspunkt (fredag, red.) ikke har været bekræftede rapportering om angreb foretage på baggrund af denne sårbarhed, er det stadig muligt at ondsindede aktører i cyberspace vil forsøge at udnytte systemer, der endnu ikke er opdateret,« skriver Homeland Security, der henviser til, at mange ofte anvendte internetsider har taget initiativ til at sikre, at de ikke berøres af sikkerhedsbristen - og orienterer brugeren om det.

Der findes flere lister over, hvilke internettjenester der har været berørt, hvad de har foretaget sig for at udbedre problemet, og om brugerne af dem bør skifte kodeord.

Hos IT-sikkerhedsrådgivningsvirksomheden CSIS Security Group forklarede IT-sikkerhedsekspert Peter Kruse fredag, at der løbende kommer nye anvisninger, i takt med at selskaberne får analyseret deres tjenester.

Derfor lyder rådet herfra, at internetbrugere skal passe på med at gå i panik over »Heartbleed«-bristen - og i stedet lytte til de meldinger, der kommer fra de tjenester, de anvender.

»Almindelige internetbrugere, som er bekymrede, skal lytte til de udmeldinger, der kommer fra serviceudbyderne af de tjenester, de har en konto hos. De skal ikke gå i panik, men lytte til det, hvis en serviceudbyder vil have dem til at ændre kodeord,« lød det fra Peter Kruse.

Hvis en internettjeneste er berørt af sårbarheden - og det kræver skift af adgangskode - vil brugerne ifølge Peter Kruse blive orienteret om det. De kan blive orienteret per mail, men ifølge Peter Kruse vælger mange internettjenester helt at tvinge folk til at skifte adgangskode:

»Hvis det sker, vil mange af dem højest sandsynligt orientere om det, allerede i det øjeblik, man logger på og her tvinge folk til at ændre deres adgangskode af sikkerhedsmæssige årsager.«

Hos IT-sikkerhedsorganisationen DK-CERT forklarede Shehzad Ahmad da også, at der herhjemme arbejdes på fuld tryk alle steder - både offentligt og privat - for at undersøge de internettjenester, de udbyder og opdatere dem til den nye version af softwaren OpenSS.

Han vurderede fredag, at de vil have håndteret det inden for en uges tid og henviser ligeledes til, at selskaberne vil orientere brugerne om situationen, hvis de er berørt, og det kræver, at brugerne skal skifte adgangskode.

Er man som internetbruger nervøs i forhold til de forskellige internettjenester, man benytter, lyder rådet fra Shehzad Ahmad, at man får skiftet sine adgangskoder.

»Hvis man vil være på den sikre side, så skifter man sin adgangskode her og nu - og gør det igen om en uge eller ti dages tid. Og så skal man holde øje med det, når der kommer opdateringer til de programmer, man benytter. Der er allerede produkter, som har haft den her sårbarhed, som nu ér blevet opdateret,« opfordrede Shehzad Ahmad. 

Heartbleed er blevet opdaget Google-folk og IT-sikkerhedsfirmaet Condenomicon, og sidstnævnte har oprettet internetsiden heartbleed.com for at informere om sikkerhedsbristen.

Analysefirmaet Netcraft, som følger med i, hvilke teknikker netstederne bruger, har i den forløbne uge vurderet, at flere end en halv million netsteder, som hører til blandt de særlige betroede blandt brugerne, er i farezonen.

Navnet Heartbleed stammer fra softwaren OpenSSL, som sikkerhedsbristen er blevet opdaget i. Det er en software som anvendes på servere til at kryptere sikre kommunikationen mellem en brugers telefon eller computer og den internettjenesten, de udbyder.

Softwaren indeholder dele kaldet »heartbeat extension« eller RFC6520, som ifølge amerikanske Wall Street Journal kontrollerer, at forbindelsen mellem to servere er »i live«.