heartbleed-featured

I veckan dök namnet Heartbleed upp, en företeelse som garanterat har sysselsatt världens serveradministratörer. Kvällspressen har som vanligt slagit på stora trumman och berättat att Internet är skitfarligt. Men vad är då CVE-2014-0160, eller ”Heartbleed”?

Kort bakgrund

För att hålla information som överförs via Internet hemlig, samt garantera att det är rätt server informationen skickas till, är en vanlig teknik SSL (secure socket layer). SSL fungerar ovanpå HTTP (det protokoll som används för att skicka data) för att kryptera och validera data – det gör helt enkelt det öppna protokollet HTTP till det krypterade protokollet HTTPS.

På servern körs ett program som tillsammans med webbservern fixar en säker anslutning vid exempelvis överföring av lösenord och annat känsligt. Det känns igen på att URLen börjar med https:// istället för det vanliga http:// vilket är ganska vanligt förekommande.

Det är i en version av en av dessa program som den omtalade buggen identifierats. Tyvärr är det en av de mest använda versionerna av en av de mest använda programmen, OpenSSL, vilket påverkar nästan oväntat många tjänster och webbplatser.

Vad går det ut på då?

Säkerhetshålet gör det möjligt att helt öppet ställa frågor till servern som svara med mer data än den borde. På så sätt kan en angripare få ut skyddad data (lösenord, överförd data m.m.) samt kanske framför allt de eftertraktade nycklar som används för att kryptera datan.

Såhär förklarar xkcd.com det:
xkcd.com förklarar Heartbleed.

Är jag drabbad?

Som privatperson är du med största sannolikhet berörd, inte så att du behöver uppdatera ditt operativsystem eller antivirusprogram – men risken finns att dina lösenord har läckt ut. Ett flertal av de största aktörerna har varit drabbade och gått ut med rekommendationer om att byta lösenord. Räkna dessutom med att förutom de stora tjänsterna även ett antal mindre som inte tas upp i de listor med drabbade som finns på nätet kan vara utsatta.

Vad ska jag göra?

Byt lösenord. Överallt.
Skämt åsido beror det lite på hur säker du vill vara. Bland de stora aktörerna som varit drabbad finns exemplevis Google/Gmail/Drive, Facebook, Instagram, Pinterest och Tumblr. På dessa platser är det på sin plats att byta lösenord. Men även på ställen där du använder samma lösenord om du vill stänga till helt.

Mashable har en lista på stora tjänster som är och inte är angripna. Men det finns även ett antal tjänster som inte är med i listan men som använder SSL. Bland de tjänster jag själv använder kan nämnas Asana, Toggl, Harvest, en massa webbhotell och en hel hög andra siter.

Det är alltså helt klart läge att köra en genomarbetning av sin lösenordspolicy och byta allt viktigt.

Carl Carnebro / Webbevakning.se har skrivit ihop lite instruktioner om hur man går tillvida på de vanligaste tjänsterna.

Dock med ett ord på vägen:
Se till att de tjänster du byter på endera inte är drabbade eller går ut med att de har tätat hålet – att byta på en tjänst som fortfarande är drabbad är meningslöst.

Trevlig helg och be safe!

Läs mer om Heartbleed på heartbleed.com