En markant fejl på sikkerhedsprotokollen OpenSSL har de sidste dage skabt usikkerhed blandt startups og brugere rundt i hele verden. Hvis man har brugere på sit website og er hostet på en opensource server så anbefaler eksperter, at man gennemgår muligheder for, om man er blevet angrebet og samtidig opdaterer til den nyeste version af OpenSSL.
Ifølge Netcrafts spørgeundersøgelse fra april benytter 66 % af alle websites rundt i verden de to opensource servere, der er ramt, så det er et signifikant problem og som sikkerheds- og krypteringsekspert Torben Pryds Pedersen fra Cryptomatic udtaler:
“Det er en meget alvorligt fejl på de servere, og her gælder det om så hurtigt som muligt at se, hvilke data der kunne være blevet kompromitteret og fortælle ens brugere om, at de hurtigst muligt skal udskifte password.”
“Det første, man bør gøre som virksomhed, er at kigge på, hvilken version man bruger [TPP]. Hvis man er ramt af problemet, skal man opdatere OpenSSl og udskifte sine nøgler til OpenSSL certifikatet [TPP]. Det gamle certifikat skal i den forbindelse spærres,” forklarer Torben Pryds Pedersen, der er CEO hos Cryptomathic.
Fejlen omtales som Heartbleed, og optræder i sikkerhedsprotokollen OpenSSL, som bruges til at sikre krypterede forbindelser over en meget stor del af internettet.
Konkret har fejlen gjort, at angribere har kunnet snuse til indholdet af RAM på servere og på den måde finde information, der ellers ville være krypteret. Det gælder for eksempel de nøgler, som bruges som basis for SSL-forbindelsen. Med disse nøgler kan trafikken mellem to computere, der er beskyttet af SSL, opsnuses og dekrypteres.
I løbet af det sidste døgn tid har vi her på redaktionen modtaget flere mails fra tjenester, der alle skriver, at man skal skifte password.
“Som du måske har hørt i medierne de seneste dage, har teknikere fundet en svaghed, der kompromitterer sikkerheden i SSL-protokollen. Det er den, der sørger for krypteret forbindelse mellem din computer og omverdenen og giver den lille grønne eller gule hængelås i adresselinjen i din browser,” skriver Ubivox i et nyhedsbrev til deres brugere og fortsætter:
“Når du har ændret din adgangskode, bør du gå igennem alle andre online services, som er vigtige for dig, og også her ændre din adgangskode – uanset om de enkelte services har informeret dig om problemerne eller ej.”
Det er vigtigt, at man handler rigtigt og oplyser brugerne om problemet ligesom Ubivox. Ifølge flere eksperter på nettet og Torben fra Cryptomatic er det super vigtigt, at man laver et nye password.
Opdateret: 14.34:
her er en liste over nogle af de websites der kan være ramt
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/
Opdateret 15:35:
https://lastpass.com/heartbleed/