De siste dagene har det gått rykter i it-sikkerhetsmiljøet om at noe stort var på gang.  Ryktet gikk ut på at det ville bli avslørt en feil med en sikkerhetsmekanisme som i praksis alle bruker på nettet. Ryktet viste seg å stemme, for i natt slapp Google katten ut av sekken. De kaller feilen «Poodle».

Googles ingeniører har funnet et alvorlig hull i SSL 3.0, en 15 år gammel teknologli som brukes til å kryptere nettrafikk.

- Omtrent alle støtter det, sier Per Thorsheim i it-sikkerhetsselskapet God Praksis.

Han viser i en tweet til en nettside som har scannet 10.000 av verdens største nettsteder, og blant de som har kryptering støtter hele 96 prosent den sårbare teknologien.

Utsatt på reise

Thorsheim mener selve feilen er mindre alvorlig enn «Heartbleed»-feilen, som ble oppdaget tidligere i år. Problemet er at den rammer omtrent alle, og kan åpne for angrep på svært mange tjenester, slik at hemmelig informasjon kan komme på avveie. 

Mens «Heartbleed» gjorde det mulig for hvem som helst å angripe hvilken som helst server på internett, så krever utnyttelse av denne feilen at man har tilgang til nettverket angrepsmålet er på, skriver Cnet.com.

Dermed blir det viktig å vite at du kan stole på nettverket du bruker.

- Bedrifter som har folk på reise i utsatte land og som jobber kryptert mot systemene hjemme har et problem, sier Thorsheim.

Han sier dette også er enda en spiker i kista for sikker bruk av Windows XP, fordi denne feilen ikke kommer til å bli fikset, og Windows XP støtter ikke nyere løsninger.

- Windows XP er til de grader død, og bør ikke brukes til noe som helst på internett, sier Thorsheim.

Les mer om Heartbleed: 

«Hjerteblødning» rammer internett  

Nesten hele Norge må bytte passord

Ikke så enkelt som med «Heartbleed»

Sikkerhetsfeilen i SSL 3.0 gjør det nesten umulig å bruke denne teknologien på en sikker måte, skriver Google-ingeniørene Bodo Möller, Krzysztof Kotowicz og Thai Duong i en rapport.

De alller fleste bruker da heller ikke denne teknologien til vanlig. Den er gammel, og normalt vil man bruke den nyere og sikrere TLS-teknologien. Problemet er at SSL 3.0 fremdeles er en nødvendig reserveløsning.

- Det kan skje under pålogging at sikkerheten midlertidig senkes, sier Thorsheim. 

Problemet blir dessuten mer akutt fordi hackere kan fremprovosere en slik nedgradering av sikkerheten.

Å skru av støtte for denne mekanismen fjerner sårbarheten, men kan forårsake problemer med tjenestene. Googles ingeniører anbefaler derfor heller å støtter en løsning der man hindrer hackere i å provosere frem bruken av SSL 3.0. Dette sier Googgle  de selv har gjort siden februar. På sikt ønsker de å slutte å støtte den aldrende teknologien.  

Thorsheim mener det beste er å gjøre kort prosess.

- Skru av SSL 3.0. Det er den enkleste, sier han. 

- Det kan sees på som et stort og viktig skritt fremover for å bli kvitt gamle, usikre løsnigner. 

Sårbart

Tjenesten Poodlescan viser da også at Google-tjenester som Gmail er sårbare. Det samme er en rekke store norske tjenester, blant dem flere banker.

Thorsheim påpeker at man risikerer at informasjon lekker ut fra slike tjenester, men sikkerhetsmekanismer som BankID gjør at pengene er trygge.

Navn

Poodle er for øvrig en forkortelse for «Padding Oracle On Downgraded Legacy Encryption». Det ser ut til å ha blitt vanlig på internett å gi store sikkerhetsfeil navn, omtrent på samme måte som store orkaner også døpes.

Det begynte med «Heart bleed», som var en feil i en funksjon som kalles «heart beat», og som ga risiko for å «blø» informasjon. Nylig fikk man også «Shellshock».

Heartbleed ble dessuten levert fra forskerne med en stilig og lett gjenkjennelig logo.

Poodle har så langt ingen slik logo, og navnet er litt typisk for Google, som tidligere har levert mobiloppdateringer med navn som «pepperkake» og «iskremsandwich».

- Folkens, vi må ta POODLE alvorlig. Det er uakseptabelt at det ikke finnes noen logo til å matche det fengende navnet ennå, fleiper Troy Hunt, en kjent sikkerhetsekspert, på Twitter.

Les også: «Hjerteblødning» rammer internett

 

 (Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.