Vi benytter cookies på DN.no til analyseformål, tilpasning av innhold og annonser og for å videreutvikle våre tjenester.Les mer her.

YELLOW SUBMARINE: Denne testsiden sendte ”yellow submarine” til en norsk nettjeneste, og klarte å lese teksten ut av minnet på serveren. Det viser at den fremdeles er sårbar.
YELLOW SUBMARINE: Denne testsiden sendte ”yellow submarine” til en norsk nettjeneste, og klarte å lese teksten ut av minnet på serveren. Det viser at den fremdeles er sårbar. les mer

It-sikkerhet

Nesten hele Norge må bytte passord

Passord fra Norwegian, Chess, Ventelo og totalt 10.000 norske servere kan være på avveie. Nasjonal Sikkerhetsmyndighet anbefaler passordskifte på bred front.

Artikkelen er lagt til i din leseliste.

- Ikke logg inn på Yahoo!

Denne advarselen ble tirsdag flittig spredt på nettet, og kunne like gjerne omhandlet en rekke norske tjenester, som Norwegian, Ventelo og Chess. Dette er tjenester som var sårbare for «Heartbleed», en svakhet i måten et enormt antall nettjenester sikrer seg på nett. Disse tjenestene kan ha lekket ut passord, brukernavn og det meste annet fra besøkende i opptil to år. 

- Sårbarheten er ekstremt enkelt å utnytte, sier Vidar Sandland, seniorrådgiver i Norsis.

Feilen rammet i går rundt 10.000 norske servere, viser statistikk laget av sikkerhetsekspert Einar Otto Stangvik.

Les artikkelen DN skrev om Heartbleed i går: «Hjerteblødning» rammer internett

Faren ikke over

Yahoo rettet feilen i løpet av tirsdag, og halv tolv onsdag hadde halvparten av de norske tjenestene tettet hullet, forteller Stangvik til DN. Men ingen vet hva hackere kan ha hentet ut allerede.

- Det kan vi ikke vite, bekrefter Kristain Vange, it-sjef i Chess.

Via Chess.no kan man logge seg inn og få oversikt over hvem kunden har ringt. Chess vurderer nå om de skal varsle alle kundene, og få dem til å lage nye passord.

Det bør de, ifølge Nasjonal Sikkerhetsmyndighet.

- Vi anbefaler at tjenesteleverandører som har sårbarheten, og som har kunder med innloggingstjenester på den ene eller andre måten, oppdaterer, varsler brukerne, og anbefaler bytte av passord, sier Kjetil Berg Veire, informasjonssjef i NSM.

Dette rådet gjelder trolig store deler av Norges befolkning, for det er mange store selskaper på listen over de sårbare.

- Nesten alle nordmenn som bruker internett er trolig berørt på minst én tjeneste, sier Per Thorsheim i God Praksis.

Han forteller at tjenester som har satt opp registrering av angrep nå viser at hackere er i full gang.

 

Dette er Heartbleed

Heartbleed er en feil i OpenSSL, en sikkerhetskomponent som brukes av svært mange tjenester på nettet, for å sikre at ikke informasjon kommer på avveie, og som vern mot hacking og svindel. Feilen ble oppdaget av sikkerhetsfolk denne uken, men kan ha blitt utnyttet av hackere siden 2012. Angrep er sporløse, og derfor anbefaler Nasjonal Sikkerhetsmyndighet at tjenester som har svakheten regner seg som hacket.

Angrep regnes som svært enkelt, og krever ingen forhåndsinformasjon om tjenesten man angriper.

OpenSSL er nå oppdatert, men det tar tid før all programvare og tjenester har fått tatt i bruk beskyttelsen.

Tjenestene som er rammet har i utgangspunktet ikke gjort noen feil, men treg eller utilstrekkelig respons kan gjøre problemet verre.

 

 

Alle må bytte

Faktura-tjenesten Conta Systemer ble også rammet av svakheten. Via innlogging fra deres nettsider kan 46.000 bedriftskunder utstede fakturaer, og de har også adgang til å endre hvilken konto pengene havner på, bekrefter daglig leder Jonny Lium.

- Vi jobber med å se hvordan dette hullet eventuelt kan ha gjort det mulig å hente ut brukernes passord fra serverens minne, sier han til DN.

Han tar problemet svært alvorlig.

- Vi  vurderer om vil skal varsle alle brukere om at de må endre passord, eller tvinge alle til å lage nytt passord ved neste innlogging, sier han.

Han understreker at de ikke har noen sett tegn på misbruk, men at de tar dette alvorlig og følger sikkerhetsanbefalingene.

Oppdatert

Spionbutikken Spyshop var også rammet av feilen, og ser alvorlig på muligheten for at noen kan ha spionert på deres kunder. De oppdaterte sikkerheten så fort de klarte. Det gjorde også Norwegian.

- Vi fikk oppgradert programvaren umiddelbart etter at den ble tilgjengelig fra leverandøren, slik at sikkerhetshullet nå er tettet, sier Astrid Mannion, kommunikasjonsrådgiver i Norwegian.

Norwegian har ikke besluttet om de vil kreve at kundene endrer passord.  Tester viser at også Ventelo har reparert en sårbarhet, men leder og tekniske direktør har i dag ikke besvart DNs henvendelser.

Slik sikrer du deg

Lium påpeker at selv nettsider som ikke har svakheten kan oppleve økt hacking. Svært mange bruker nemlig samme passord til å logge seg inn på flere tjenester. Dette vet hackerne, og det er mange eksempler på at passord fra ett angrep brukes mot ellers sikre nettsider.

Dette finnes det imidlertid et våpen mot, mener Sandland i Norsis.

- Vi mener alle kan huske uendelig mange passord, sier han.

Trikset er å velge en regle for alle passord, og legge inn ett element fra siden det gjelder, mener han.

- Du kan for eksempel ta ”Lisa gikk til skolen Facebook” for Facebook, sier han.

For å gjøre det sikkert er det viktig at ikke alle velger samme regle, og helst bør man finne en egen logikk, for eksempel å velge andre bokstav i nettstednavnet, og kanskje plassere den på et fast sted i reglen. Poenget er å skape unike passord for hver nettside, der en fast logikk er lett å huske for brukeren, men vanskelig å gjette for en hacker.

Det aller beste er imidlertid å skru på såkalt totrinns-bekreftelse, som betyr at passord alene ikke er nok. På nettbanker må man gjerne ha en kodebrikke i tillegg, eller få en sms på mobilen, mens stadig flere nettjenester kan sende deg en sms med engangskode hver gang du bruker en ny enhet. Dermed får hackere lite nytte av passordet, så lenge de ikke også har brukerens mobil.

- Dette bør legges inn på flest mulig tjenester. Da er det ikke så farlig om passordet kommer på avveie, sier Sandland.

Mange tjenester mangler fortsatt denne muligheten, og relativt få brukere har valgt å benytte seg av denne sikringen.  Men Heartbleed-feilen viser hvor viktig det er, sier Sandland.

- Jeg tror ikke folk vet hvor lett det er å bruke det, og det ville beskyttet mot dette, sier han. 

Les mer om Heartbleed: «Hjerteblødning» rammer internett

Tekno Hacking It-sikkerhet
Bli Varslet

Ikke gå glipp av noe!

Du kan få en epost hver gang vi skriver om dette.