«Hjerteblødning» er navnet på en feil som nå er oppdaget. Den ligger i det som må sies å være hjertet av nettets sikkerhet. Feilen gjør det mulig å kontakte en nettjeneste via vanlig forbindelse, og lese av det som er i minnet på serveren. Det kan inkludere folks brukernavn, passord, og det meste annet.
- Ingenting blir logget, og man sitter i uvisshet om hva som er lekket ut, sier Jan Roger Wilkens, produktansvarlig for sikkerhetsprodukter i Telenor SOC.
- Dette er en spesielt alvorlig feil, som rammer infrastrukturen som skal gjøre nettet sikkert, sier han.
Les mer om feilen på nettsiden til de som oppdaget feilen: Heartbleed.com.
Nøkkelen til alt
Feilen ligger i OpenSSL, som er en bærebjelke for mye av sikkerheten på internett. Sårbarheten har eksistert siden 2012 og komponenten finnes nå i millioner av servere verden rundt, forteller Wilkens.
- Vi vurderer sårbarheten som svært alvorlig, sier seksjonssjef i Nasjonal Sikkerhetsmyndighet, Arne Asplem til DN i en epost.
Det verste med feilen er trolig at serverens hemmelige private «nøkkel» kan leses av på sårbare tjenester. Denne nøkkelen låser opp all kryptert informasjon som skjer via tjenesten.
- Med tilgang til private krypteringsnøklene kan en angriper få innsyn i kryptert kommunikasjon, mot webservere, e-post løsninger, lynmeldinger og enkelte VPN løsninger, sier han.
VPN er krypterte forbindelser som folk ofte bruker for å logge seg inn på arbeidsplassen fra andre steder.
Svært mange norske
Problemene er i høyeste grad relevante for Norge, viser en undersøkelse it-ekspert Einar Otto Stangvik har gjennomført blant de mest besøkte norske nettsidene.
Totalt finnes det 631 norske adresser som bruker kryptering på Alexa.coms oversikt over verdens største nettsteder, og av dem var 191 sårbare tirsdag ettermiddag, altså litt over 30 prosent.
På listen over sårbare nettsider finner vi flere store teleselskaper, reiselivsselskaper, mange butikker, en kommune og en rekke nettjenester. Mange må antas å inneholde personlig sensitiv informasjon, ikke minst tjenster relatert til skoler, jobbsøking, datingtjenester og en menneskerettsorganisasjon.
Angrep uten spor
Feilen har eksistert i to år, og det gjør saken enda mer alvorlig.
- Det medfører at man ikke har noen mulighet til å verifisere om noen allerede har utnyttet denne tidligere, sier Asplem.
Eventuelle angrep vil være sporløse, forteller Wilkens. Hadde man lest av filer fra tjenesten ville det normalt blitt loggført, men dette angrepet leser rett fra minnet, og det loggføres ikke. Dermed kan det bli umulig å vite hvem som faktisk er hacket. NSM mener derfor at alle som har hatt tjenester med denne sårbarheten må regne med at man har blitt hacket. Da må man oppdatere systemene så fort som mulig, og så skaffe nye sikkerhetsnøkler.
Enkelt å angripe
Når alvorlige feil som «Heartbleed» offentliggjøres, starter et kappløp mellom de som skal tette hullene, og hackerne.
- Jeg vil tro folk allerede nå sitter og henter private nøkler fra webservere, for det er ganske lett og liten sjanse for å bli oppdaget, sier Wilkens.
Han understreker at dette ikke er vanskelig, og man trenger ikke spesialtilgang til serveren eller å lure inn noen virus for å gå i gang.
- Du sender en spesiell pakke med egne kommandoer til en nettside, og så får du tilbake en del av minnet fra serveren. Når du gjør dette mange ganger kan du bygge deg opp til du har fått det du vil ha, sier Wilkens.
Haster
Per Thorsheim i God Praksis frykter at det kan ta tid før forsvaret er i orden mot denne sårbarheten.
- De som har sensitive tjenester på nett eller virtuelle nettverk (VPN) har en jobb å gjøre, og det haster, sier han.
Første skritt er allerede tatt - sårbarheten i OpenSSL er rettet opp. Men før sikkerheten er i orden må programvareutviklerne som bruker OpenSSL først oppdatere sine systemer, og så må alle nettjenestene som bruker dem igjen oppdatere sine servere.
Thorsheim frykter at svært mange tjenester fremdeles vil være sårbare om et års tid.
Han mener nettbutikker kan rammes av hacking med denne sårbarheten, men det er slett ikke det verste.
– Det er systemer som er viktigere her i livet og på internett enn nettbutikker, sier Thorsheim.
(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.