Intervju: ESET om säkerhetshålet Heartbleed

Intervju: ESET om säkerhetshålet Heartbleed

En bugg i OpenSSL kan göra det möjligt att komma åt användaruppgifter och certifikat. SweClockers talar med säkerhetsföretaget ESET för att reda på konsekvenserna av Heartbleed.

Anders_Nilsson_ESET.jpg

Tidigare i veckan uppdagades en allvarlig bugg i krypteringskomponenten OpenSSL, en mycket välanvänd implementation av SSL- och TLS-protokollen med öppen källkod. Säkerhetshålet har satt hela IT-världen i gungning eftersom exempelvis hackare kan komma åt krypterade lösenord. Dessutom är eventuella attacker i de flesta fall omöjliga att spåra.

SweClockers talar med Anders Nilsson, teknikchef på säkerhetsföretaget ESET Sverige, för att få svar på några av de vanligaste frågorna om det uppmärksammade säkerhetshålet, som går under namnet Heartbleed.

Kan du berätta vad Heartbleed-buggen är för något och hur länge den har funnits?

– I krypteringsprotokollet TLS finns stöd för en ping-liknande instruktion, för att se att allting fungerar. Detta kallas Heartbeat och är anledningen till att buggen döpts till Heartbleed. I vissa versioner av vissa program och bibliotek kan denna returnera mer data från minnet än vad som är avsett (vilket kan utnyttjas av angripare /reds. anm).

– Angriparen kan visserligen inte välja vilket minne som ska läsas, utan det är bara nyligen allokerat minne på servern som returneras, som i princip kan vara vad som helst. Det har dock visat sig vara relativt lätt att få tag på känslig data som inloggningsuppgifter, certifikat och sessionsvariabler. Det är saker som ofta hamnar i minnet precis vid en anslutning till exempelvis en webbserver. Den tecknade serien Xkcd beskriver enkelt och bra hur buggen fungerar.

– Buggen i sig har funnits i över två år, det vill säga sedan Heartbeat-funktionen kom till. Det är först nu i dagarna den blivit "officiellt" känd. Det finns många inbyggda skydd som ska stoppa liknande saker från att hända, men OpenSSL-koden innehåller okonventionella metoder att göra det på för att vissa system annars kan få sämre prestanda, något som nu ifrågasatts efter upptäckten av buggen.

Vilka konsekvenser har Heartbleed i praktiken? Kan någon ta reda på mina lösenord?

– Förmodligen inte och det har inte heller upptäckts några konkreta bevis på att detta har utnyttjats i attacker. Men, eftersom angripare i teorin har kunnat läsa minne från servern, vet man aldrig vad som eventuellt kan ha läckt ut. Har du inte loggat in på tjänsten exakt när någon försöker angripa den kommer de troligtvis inte åt dina inloggningsuppgifter, men istället kan de ha kommit över information för att knäcka krypteringen eller för att ta sig in på servern.

– Beroende på vilken programkod som den anslutande klienten använder kan även klienten/datorn som ansluter vara sårbar. Det vill säga att om man ansluter till en server kan servern försöka få minne från klienten på samma sätt genom Heartbleed-buggen.

Är några större webbplatser och tjänster drabbade?

– Amazons lastbalanserare (ELB) var sårbara och flera webbplatser använder dem. Även Facebook, Instagram, Google och Dropbox har varit sårbara. Det har åtgärdats nu och det finns som sagt inga konkreta exempel på att någon angripare kommit åt något.

Hur kan jag kontrollera om en tjänst är drabbad?

– Det finns ett par olika webbplatser där där det går att kontrollera om en adress är sårbar, bland annat Lastpass och Filippio.

Vilka åtgärder bör användare vidta?

– Förmodligen är det ingen större fara för gemene man, men det kan vara bra att ta tillfället i akt och byta "alla" lösenord. Både för att vara på den säkra sidan och för att det är en god vana att byta ibland.

Tack för pratstunden!

Tack själv!

Kommentarer till artikeln

50 debattinlägg

Skicka en rättelse
27

Microsoft bekräftar spelläge i Windows 10 Creators Update

Uppgifterna om ett spelläge i Windows 10 bekräftas nu av Microsoft i ett nytt blogginlägg. Funktionen lanseras i och med Creators Update och ska fungera med samtliga speltitlar. Läs mer

62

Windows 10-uppdatering introducerar problem för användare med flera skärmar

Under förra veckan släppte Microsoft en mindre uppdatering för Windows 10, vilken skapat problem för användare som spelar med flera skärmar via Nvidia Surround eller AMD Eyefinity. Läs mer

14

Analysfirman IDC förutspår stabilisering på PC-marknaden framöver

Trots en fortsatt minskad försäljning på datormarknaden överlag spås den nu stabiliseras, med ökad försäljning för både Dell, HP och Lenovo det senaste året. Läs mer

88

Nintendo Switch lanseras utan spelbundlar

I början av mars anländer spelkonsolen Nintendo Switch och inledningsvis släpps den helt utan några spelbundlar, något som motiveras med att speljätten vill hålla ned priset. Läs mer

69

Philips BDM4037UW är välvd 40-tumsskärm för skrivbordet

Skärmmakaren Philips lanserar sin tredje generations skärm i 40-tumsklassen, som förutom att bli en välvd historia går tillbaka till att använda VA-panel. Läs mer

27

Tre medlemmar vinner kaffe från Lindvalls

Lindvalls ringar in det nya året med att belöna tre medlemmar med varsin årsförbrukning kaffe, som de kan avnjuta för att uppnå sina perfekta kaffestunder. Läs mer

48

Razers stulna prototyp Project Valerie dyker upp för försäljning

Den försvunna prototypdatorn Project Valerie hittar ut på kinesiska webbplatsen Taobao, där den lagts upp för försäljning för omkring 200 000 svenska kronor. Läs mer

54

Nintendo bekräftar 6,2-tumsskärm och 32 GB lagringsminne för Switch

I samband med avslöjandet av släppdatum och pris för Switch går Nintendo ut med ytterligare hårdvarudetaljer, bland annat att batteritiden i nästa Zelda endast räcker omkring tre timmar. Läs mer

121

Nintendo Switch lanseras den 3 mars – kostar strax över 3 000 kronor

Under en direktsänd tillställning avslöjar Nintendo fler detaljer om spelkonsolen Switch, som släpps tidigt i mars och där över 80 speltitlar är under utveckling. Läs mer

122

Valve-anställd: "Half-Life 3 kommer aldrig att släppas"

Enligt en anonym anställd på Valve kommer fansen aldrig få se en tredje del i spelserien Half-Life, något som bland annat beror på hur företaget arbetar med spelutveckling. Läs mer

68

Cooler Master tillkännager nätaggregat för 11 000 kronor

Masterwatt Maker MIJ är ett nätaggregat från Cooler Master av det mer exklusiva slaget, med endast japanska komponenter, 80 Plus Titanium samt en prislapp på 11 000 kronor. Läs mer

36

HTC tillkännager U Ultra – smart telefon med dubbla skärmar

De två kommande mobiltelefonerna från HTC får namnen U Ultra och U Play, där den förstnämnda utrustas med en extra skärm på enhetens framsida. Läs mer