Hvernig bregðast á við Heartbleed gallanum Samúel Karl Óalson skrifar 16. apríl 2014 16:10 Innbrotavörn Nýherja stoppaði í síðustu viku um 1.500 tilfelli af Heartbleed árásum samkvæmt öryggissérfræðingi fyrirtækisins. Guðmundur Arnar Sigmundsson, birti í gær bloggfærslu um Heartbleed gallann þar sem hann útskýrir gallann og bendir á hvernig einstaklingar og fyrirtæki geti brugðist við. Rúm vika er liðin frá því að fréttir bárust af öryggisgalla í opinni útfærslu á TLS/SSL dulkóðunaraðferðinni OpenSSL. Guðmundur segir gallann vera kallaðan Heartbleed vegna þess að hann kemur fram í svokölluðum hjartsláttar skilaboðum sem notuð eru til að halda dulkóðuðum samskiptum lifandi yfir lengri tíma. „Öryggisgallinn sjálfur lýsir sér þannig í einföldu máli að hægt var að „plata“ vefþjónustur til þess að gefa árásaraðila upp hluta þeirra upplýsinga sem lágu í vinnsluminni vefþjóna. Hvað lá í minninu á hverjum tímapunkti var tilviljunum háð en það gat innihaldið lykilorð, notendanöfn, skírteini til að auðkenna þjónustur, skilaboð og tölvupósta. Hvað sem er sem á annað borð fór í gegnum þá,“ skrifar Guðmundur. Hann segir gallann vera mjög hvimleiðar þar sem hann grafi undan trausti almennings á öruggum samskiptum á netinu. „Fólki hefur alltaf verið sagt að ef það er að hlaða viðkvæmum gögnum eða upplýsingum yfir internetið, og þá er sama hvort um er að ræða vefpóst, netbankasamskipti eða gagnageymslur líkt og t.d. Dropbox, að þá geti það treyst því að samskiptin séu örugg og dulkóðuð svo lengi sem þau sjái hið margumtalaða https:// fyrir framan nafn heimasíðunnar. S-ið er lykilatriði því það stendur fyrir „secure“ og segir okkur að um dulkóðuð samskipti sé að ræða. Dulkóðuð samskipti sem að byggja á áðurnefndri TLS/SSL dulkóðunaraðferð.“66 prósent þjónustu á internetinu nýta OpenSSL Hann segir gallann ekki hafa verið villu í sjálfri dulkóðunaraðferðinni heldur í útfærslunni, en um forritunargalla er að ræða. „TLS/SSL er því ennþá ósnortið og fólk getur ennþá treyst því með góðri samvisku,“ skrifar Guðmundur. Þá sé OpenSSL gríðarlega vinsæll ókeypis hugbúnaður frjáls til notkunar fyrir alla og talið sé að 66 prósent allra þjónustu á internetinu nýti hann fyrir örugg samskipti. „Stórir aðilar eins og Google, Amazon, Instagram, Dropbox og margir fleiri hafa allir nýtt sér OpenSSL í sínum þjónustum og lentu því í vandræðum í kjölfar uppgötvunar gallans.“ Guðmundur segir flesta, ef ekki alla, hafa uppfært skírteini sín, sem þýði að einstaklingar þurfi eingöngu að uppfæra lykilorð sín hjá þeim þjónustum sem urðu fyrir áhrifum. Þá vísar hann á lista á síðunni Mashable yfir þær þjónustur þar sem breyta þarf lykilorðum sinum, en Vísir sagði frá þessum lista í síðustu viku. Sé fólk að samnýta sömu lykilorðin fyrir þjónustur sem ekki urðu fyrir áhrifum er þó best að breyta þeim líka.1500 tilfelli af Heartbleed árásum Guðmundur segir að fyrirtæki sem séu í rekstri og reki eigin vefþjóna ættu að ganga úr skugga um að þau séu hvergi að keyra OpenSSL hugbúnað sem sé eldri en útgáfa 1.01g. Hafi fyrri útgáfur verið notaðar undanfarin tvö ár sé engin leið að sjá hvort brotist hafi verið inn á þjóna og skírteinum, lyklum og notendanöfnum verið stolið. „Sé það tilfellið er betra að hafa vaðið fyrir neðan sig og mælum við með því að öll skírteini og lyklar verði endurnýjuð.“ Þá mælir hann með því að forsvarsmenn fyrirtækja íhugi að koma sér upp innbrotsvörn sem fylgist með allir netumferð og leitar eftir þekktum árásarmynstrum. Hann segir Nýherja keyra sína innri vefi á slíkri vörn og þó hún hafi ekki nýst til að verja fyrirtækið áður en Heartbleed uppgötvaðist hafi hún verið uppfærð. „Vissulega er gott að öryggisgallar komi upp á yfirborðið svo hægt sé að uppfæra kerfi og stoppa í holur. En upplýsingarnar nýtast líka þeim sem að stunda svona árásir sem reyna í fleiri tilfellum að nýta sér holurnar. Það sást bersýnilega síðastliðna viku á innbrotavörn Nýherja þar sem hún stoppaði rúmlega 1500 tilfelli af Heartbleed árásum,“ skrifar Guðmundur.Hann nefnir þrjú atriði sem nauðsynlegt sé að framkvæma. Að einstaklingar uppfæri lykilorð hjá þeim þjónustum sem voru að keyra gallaðar útgáfur af OpenSSL, en gangi úr skugga um að viðkomandi þjónustur séu búnar að uppfæra sín kerfi áður. Að fyrirtæki hugi að því að uppfæra allar sínar þjónustur sem keyrðu OpenSSL upp í útgáfu 1.01g og endurnýji skilríki og lyklapör í framhaldi af því. Að fyrirtæki íhugi að koma sér upp innbrotavörn. Mest lesið „En við getum aldrei talað um að hann sé að gera þetta fyrir vin sinn“ Viðskipti innlent KS við það að kaupa B. Jensen Viðskipti innlent Ætla að binda enda á skattaívilnun fyrir rafmagnsbíla Viðskipti erlent Telur enga frétt í leyniupptökunum um hvalveiðar Viðskipti innlent Spá því að nefndin lækki stýrivexti duglega Viðskipti innlent Hélt tryggingunni vegna geymslu á innbúi í Grindavík Neytendur Tugmilljarða viðsnúningur hjá Alvotech Viðskipti innlent Húsið sem keypt var á þrjár milljónir til sölu á 83 milljónir Viðskipti innlent Spá því að verðbólgan fari í 4,5 prósent Viðskipti innlent Eini sjö sæta rafbíllinn í sínum verðflokki Samstarf Fleiri fréttir Ætla að binda enda á skattaívilnun fyrir rafmagnsbíla Mega ekki lengur skreyta sig með konunglegum fjöðrum Fá ekki að skrá svívirðingar um Rússa sem vörumerki Linkedin sektað um tugi milljarða Samkeppni eykst í Grænlandsflugi Sekta Google um meira en allan pening heimsins Adidas og Ye sættast Bjóða upp á veðmál um leiki barna og styrkja knattspyrnurisa Bein útsending: Hver hlýtur hagfræðiverðlaun sænska seðlabankans? United Airlines hefur flug milli New York og Nuuk Viðskiptavinir gjaldþrota rafmyntakauphallar endurheimta milljarða Samþykktu allt að 45 prósent toll á kínverska rafbíla Samið um lok umfangsmikils verkfalls hafnarverkamanna Sjá meira
Innbrotavörn Nýherja stoppaði í síðustu viku um 1.500 tilfelli af Heartbleed árásum samkvæmt öryggissérfræðingi fyrirtækisins. Guðmundur Arnar Sigmundsson, birti í gær bloggfærslu um Heartbleed gallann þar sem hann útskýrir gallann og bendir á hvernig einstaklingar og fyrirtæki geti brugðist við. Rúm vika er liðin frá því að fréttir bárust af öryggisgalla í opinni útfærslu á TLS/SSL dulkóðunaraðferðinni OpenSSL. Guðmundur segir gallann vera kallaðan Heartbleed vegna þess að hann kemur fram í svokölluðum hjartsláttar skilaboðum sem notuð eru til að halda dulkóðuðum samskiptum lifandi yfir lengri tíma. „Öryggisgallinn sjálfur lýsir sér þannig í einföldu máli að hægt var að „plata“ vefþjónustur til þess að gefa árásaraðila upp hluta þeirra upplýsinga sem lágu í vinnsluminni vefþjóna. Hvað lá í minninu á hverjum tímapunkti var tilviljunum háð en það gat innihaldið lykilorð, notendanöfn, skírteini til að auðkenna þjónustur, skilaboð og tölvupósta. Hvað sem er sem á annað borð fór í gegnum þá,“ skrifar Guðmundur. Hann segir gallann vera mjög hvimleiðar þar sem hann grafi undan trausti almennings á öruggum samskiptum á netinu. „Fólki hefur alltaf verið sagt að ef það er að hlaða viðkvæmum gögnum eða upplýsingum yfir internetið, og þá er sama hvort um er að ræða vefpóst, netbankasamskipti eða gagnageymslur líkt og t.d. Dropbox, að þá geti það treyst því að samskiptin séu örugg og dulkóðuð svo lengi sem þau sjái hið margumtalaða https:// fyrir framan nafn heimasíðunnar. S-ið er lykilatriði því það stendur fyrir „secure“ og segir okkur að um dulkóðuð samskipti sé að ræða. Dulkóðuð samskipti sem að byggja á áðurnefndri TLS/SSL dulkóðunaraðferð.“66 prósent þjónustu á internetinu nýta OpenSSL Hann segir gallann ekki hafa verið villu í sjálfri dulkóðunaraðferðinni heldur í útfærslunni, en um forritunargalla er að ræða. „TLS/SSL er því ennþá ósnortið og fólk getur ennþá treyst því með góðri samvisku,“ skrifar Guðmundur. Þá sé OpenSSL gríðarlega vinsæll ókeypis hugbúnaður frjáls til notkunar fyrir alla og talið sé að 66 prósent allra þjónustu á internetinu nýti hann fyrir örugg samskipti. „Stórir aðilar eins og Google, Amazon, Instagram, Dropbox og margir fleiri hafa allir nýtt sér OpenSSL í sínum þjónustum og lentu því í vandræðum í kjölfar uppgötvunar gallans.“ Guðmundur segir flesta, ef ekki alla, hafa uppfært skírteini sín, sem þýði að einstaklingar þurfi eingöngu að uppfæra lykilorð sín hjá þeim þjónustum sem urðu fyrir áhrifum. Þá vísar hann á lista á síðunni Mashable yfir þær þjónustur þar sem breyta þarf lykilorðum sinum, en Vísir sagði frá þessum lista í síðustu viku. Sé fólk að samnýta sömu lykilorðin fyrir þjónustur sem ekki urðu fyrir áhrifum er þó best að breyta þeim líka.1500 tilfelli af Heartbleed árásum Guðmundur segir að fyrirtæki sem séu í rekstri og reki eigin vefþjóna ættu að ganga úr skugga um að þau séu hvergi að keyra OpenSSL hugbúnað sem sé eldri en útgáfa 1.01g. Hafi fyrri útgáfur verið notaðar undanfarin tvö ár sé engin leið að sjá hvort brotist hafi verið inn á þjóna og skírteinum, lyklum og notendanöfnum verið stolið. „Sé það tilfellið er betra að hafa vaðið fyrir neðan sig og mælum við með því að öll skírteini og lyklar verði endurnýjuð.“ Þá mælir hann með því að forsvarsmenn fyrirtækja íhugi að koma sér upp innbrotsvörn sem fylgist með allir netumferð og leitar eftir þekktum árásarmynstrum. Hann segir Nýherja keyra sína innri vefi á slíkri vörn og þó hún hafi ekki nýst til að verja fyrirtækið áður en Heartbleed uppgötvaðist hafi hún verið uppfærð. „Vissulega er gott að öryggisgallar komi upp á yfirborðið svo hægt sé að uppfæra kerfi og stoppa í holur. En upplýsingarnar nýtast líka þeim sem að stunda svona árásir sem reyna í fleiri tilfellum að nýta sér holurnar. Það sást bersýnilega síðastliðna viku á innbrotavörn Nýherja þar sem hún stoppaði rúmlega 1500 tilfelli af Heartbleed árásum,“ skrifar Guðmundur.Hann nefnir þrjú atriði sem nauðsynlegt sé að framkvæma. Að einstaklingar uppfæri lykilorð hjá þeim þjónustum sem voru að keyra gallaðar útgáfur af OpenSSL, en gangi úr skugga um að viðkomandi þjónustur séu búnar að uppfæra sín kerfi áður. Að fyrirtæki hugi að því að uppfæra allar sínar þjónustur sem keyrðu OpenSSL upp í útgáfu 1.01g og endurnýji skilríki og lyklapör í framhaldi af því. Að fyrirtæki íhugi að koma sér upp innbrotavörn.
Mest lesið „En við getum aldrei talað um að hann sé að gera þetta fyrir vin sinn“ Viðskipti innlent KS við það að kaupa B. Jensen Viðskipti innlent Ætla að binda enda á skattaívilnun fyrir rafmagnsbíla Viðskipti erlent Telur enga frétt í leyniupptökunum um hvalveiðar Viðskipti innlent Spá því að nefndin lækki stýrivexti duglega Viðskipti innlent Hélt tryggingunni vegna geymslu á innbúi í Grindavík Neytendur Tugmilljarða viðsnúningur hjá Alvotech Viðskipti innlent Húsið sem keypt var á þrjár milljónir til sölu á 83 milljónir Viðskipti innlent Spá því að verðbólgan fari í 4,5 prósent Viðskipti innlent Eini sjö sæta rafbíllinn í sínum verðflokki Samstarf Fleiri fréttir Ætla að binda enda á skattaívilnun fyrir rafmagnsbíla Mega ekki lengur skreyta sig með konunglegum fjöðrum Fá ekki að skrá svívirðingar um Rússa sem vörumerki Linkedin sektað um tugi milljarða Samkeppni eykst í Grænlandsflugi Sekta Google um meira en allan pening heimsins Adidas og Ye sættast Bjóða upp á veðmál um leiki barna og styrkja knattspyrnurisa Bein útsending: Hver hlýtur hagfræðiverðlaun sænska seðlabankans? United Airlines hefur flug milli New York og Nuuk Viðskiptavinir gjaldþrota rafmyntakauphallar endurheimta milljarða Samþykktu allt að 45 prósent toll á kínverska rafbíla Samið um lok umfangsmikils verkfalls hafnarverkamanna Sjá meira