Kæmpe hackerhul spreder sig

Den omfattende sikkerhedsbrist »Heartbleed« har trukket al opmærksom for mange teknologifolk denne uge, og nu er den også blev fundet i netværksudstyr.

Den omfattende sikkerhedsbrist Heartbleed er nu også fundet i netværksudstyr, som gør det muligt at komme på nettet. Fold sammen
Læs mere
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Det kæmpe hackerhul kaldet »Heartbleed«, som blev opdaget tidligere på ugen - og har trukket en strøm af advarsler gennem ugen med opfordringer til internetbrugere om at få skiftet deres kodeord på de internettjenester, de bruger, viser sig også at have ramt netværksudstyr.

To af de største netværksleverandører Cisco Systems og Juniper Networks oplyser til amerikanske Wall Street Journal, at sikkerhedsbristen har ramt nogle af deres produkter. Det betyder, at hackere kan have mulighed for at hacke sig ind og stjæle brugernavne, kodeord og andre oplysninger, der bevæger sig på tværs af internettet og firmanetværk og netværk i hjemmet, skriver Wall Street Journal.

Hertil meddeler selskaberne, at sikkerhedsbristen berører routere, switches og firewalls, som ofte anvendes af virksomheder.

Der er tale om en sikkerhedsbrist i den krypteringsmetode, som mange internetsteder anvender til at sikre kommunikationen mellem brugernes telefon eller computer og den internettjeneste, de udbyder. Det har resulteret i et sikkerhedshul, som hackere har kunnet udnytte til at få fingre i brugerdata brugernavne og adgangskoder.  

Flere internettjenester som bl.a. Facebook, Google og Yahoo har torsdag oplyst til nyhedsbureauet Reuters, at de allerede har taget initiativ til at afskærme brugerne over for risikoen, mens både Amazon og Twitter har oplyst, at deres tjenester ikke er blevet berørt af sikkerhedsbristen.

Softwaren OpenSSL, der den software, som anvendes til krypteringen, bruges på de servere, der »hoster« - eller opbevarer - internetsider.

Hos netværksleverandørerne Cisco Systems og Juniper Networks er der tale om, at det dele af det netværksudstyr, der anvendes til at komme på internettet og skabe netværk, der er ramt. Det kan eksempelvis være »routere«, »switches« og firewall ofte brugt af virksomheder.

Ifølge Wall Street Journal orienterede Cisco Systems sine kunder torsdag om, at snesevis af selskabet produkter var ramt af sårbarheden med risiko for, og at 65 produkter blev undersøgt, mens det var bekræftet, at 16 var berørt. Fra Juniper Networks meddelte en talsmand, at det kan blive en langvarig proces at få opdateret udstyret mod sikkerhedsbristen, og at selskabet allerede havde udstedt opdateringer til dele af dets software til private netværk.

Heartbleed er blevet omtalt som en ekstrem omfattende sikkerhedsbrist, der da også har trukket opmærksomheden i det teknologiske felt denne uge.

Hos IT-sikkerhedsrådgivningsvirksomheden CSIS Security Group forklarede IT-sikkerhedsekspert Peter Kruse torsdag til B.dk da også, at der er tale om en kritisk fejl, men at fejlen ligger på et meget teknisk niveau, hvor det er IT-kyndige og systemadministratorer, som er blevet sendt på overarbejde af »Heartbleed«.

»For almindelige internetbrugere, som sidder på deres Mac- eller Windows-maskiner, er det bedste råd at give, at de kunne gøre sig den ulejlighed at skifte deres adgangskoder, hvis de siden i tirsdags har brugt nogle af de internetservices, som er på listen over dem, der er ramt,« lyder det fra Peter Kruse, der samtidig siger, at internetbrugere skal undlade at gå i panik og lytte til de anvisninger, de får fra serviceudbyderne af de internettjenester, de anvender.

Heartbleed er blevet opdaget Google-folk og IT-sikkerhedsfirmaet Condenomicon, og sidstnævnte har oprettet internetsiden heartbleed.com for at informere om sikkerhedsbristen.

Selskabet Github, der står bag et digitalt netværk til deling af kode, har samlet en liste med en lang række internetsider og tjenester, der er blevet testet for, om de er berørt af sikkerhedshullet.

Navnet Heartbleed stammer fra softwaren OpenSSL, som sikkerhedsbristen er blevet opdaget i. Det er en software som anvendes på servere til at kryptere sikre kommunikationen mellem en brugers telefon eller computer og den internettjenesten, de udbyder. Softwaren indeholder dele kaldet »heartbeat extension« eller RFC6520, som ifølge amerikanske Wall Street Journal kontrollerer, at forbindelsen mellem to servere er »i live«.