Intervju: ESET om säkerhetshålet Heartbleed

Intervju: ESET om säkerhetshålet Heartbleed

En bugg i OpenSSL kan göra det möjligt att komma åt användaruppgifter och certifikat. SweClockers talar med säkerhetsföretaget ESET för att reda på konsekvenserna av Heartbleed.

Anders_Nilsson_ESET.jpg

Tidigare i veckan uppdagades en allvarlig bugg i krypteringskomponenten OpenSSL, en mycket välanvänd implementation av SSL- och TLS-protokollen med öppen källkod. Säkerhetshålet har satt hela IT-världen i gungning eftersom exempelvis hackare kan komma åt krypterade lösenord. Dessutom är eventuella attacker i de flesta fall omöjliga att spåra.

SweClockers talar med Anders Nilsson, teknikchef på säkerhetsföretaget ESET Sverige, för att få svar på några av de vanligaste frågorna om det uppmärksammade säkerhetshålet, som går under namnet Heartbleed.

Kan du berätta vad Heartbleed-buggen är för något och hur länge den har funnits?

– I krypteringsprotokollet TLS finns stöd för en ping-liknande instruktion, för att se att allting fungerar. Detta kallas Heartbeat och är anledningen till att buggen döpts till Heartbleed. I vissa versioner av vissa program och bibliotek kan denna returnera mer data från minnet än vad som är avsett (vilket kan utnyttjas av angripare /reds. anm).

– Angriparen kan visserligen inte välja vilket minne som ska läsas, utan det är bara nyligen allokerat minne på servern som returneras, som i princip kan vara vad som helst. Det har dock visat sig vara relativt lätt att få tag på känslig data som inloggningsuppgifter, certifikat och sessionsvariabler. Det är saker som ofta hamnar i minnet precis vid en anslutning till exempelvis en webbserver. Den tecknade serien Xkcd beskriver enkelt och bra hur buggen fungerar.

– Buggen i sig har funnits i över två år, det vill säga sedan Heartbeat-funktionen kom till. Det är först nu i dagarna den blivit "officiellt" känd. Det finns många inbyggda skydd som ska stoppa liknande saker från att hända, men OpenSSL-koden innehåller okonventionella metoder att göra det på för att vissa system annars kan få sämre prestanda, något som nu ifrågasatts efter upptäckten av buggen.

Vilka konsekvenser har Heartbleed i praktiken? Kan någon ta reda på mina lösenord?

– Förmodligen inte och det har inte heller upptäckts några konkreta bevis på att detta har utnyttjats i attacker. Men, eftersom angripare i teorin har kunnat läsa minne från servern, vet man aldrig vad som eventuellt kan ha läckt ut. Har du inte loggat in på tjänsten exakt när någon försöker angripa den kommer de troligtvis inte åt dina inloggningsuppgifter, men istället kan de ha kommit över information för att knäcka krypteringen eller för att ta sig in på servern.

– Beroende på vilken programkod som den anslutande klienten använder kan även klienten/datorn som ansluter vara sårbar. Det vill säga att om man ansluter till en server kan servern försöka få minne från klienten på samma sätt genom Heartbleed-buggen.

Är några större webbplatser och tjänster drabbade?

– Amazons lastbalanserare (ELB) var sårbara och flera webbplatser använder dem. Även Facebook, Instagram, Google och Dropbox har varit sårbara. Det har åtgärdats nu och det finns som sagt inga konkreta exempel på att någon angripare kommit åt något.

Hur kan jag kontrollera om en tjänst är drabbad?

– Det finns ett par olika webbplatser där där det går att kontrollera om en adress är sårbar, bland annat Lastpass och Filippio.

Vilka åtgärder bör användare vidta?

– Förmodligen är det ingen större fara för gemene man, men det kan vara bra att ta tillfället i akt och byta "alla" lösenord. Både för att vara på den säkra sidan och för att det är en god vana att byta ibland.

Tack för pratstunden!

Tack själv!

Kommentarer till artikeln

50 debattinlägg

Skicka en rättelse
10

Direkt från Kappa Bar med Geeks Gaming

Spelsällskapet Geeks Gaming intar Kappa Bar för häng och god mat. Givetvis direktsänds hela kvällen, och gänget uppdaterar löpande med bilder. Läs mer

Fractal Design-chassi och två fläktar till pangpris hos Inet

  • igår 12:00

Komprimerad ATX-låda från Fractal Design och dubbel uppsättning extra Venturi-fläktar till lågpris gömmer sig bakom tredje luckan i Geeks Julkalender! Läs mer

39

Test: Corsair Crystal 570X RGB

Corsair storsatsar på konceptet härdat glas och flerfärgsbelysning med sitt nya chassi Crystal 570X RGB. Modellen tar idag plats i SweClockers testlabb för en rejäl videogenomgång. Läs mer

45

SSD-priser väntas fortsätta stiga på grund av minnesbrist

På grund av komponentbrist och ökad efterfrågan väntas priserna på SSD-enheter öka, vissa med så mycket som 20 procent. Bristen tros hålla i sig ända till slutet av nästa år. Läs mer

65

Amazon lanserar Snowmobile – tjänst för att flytta stora mängder data via långtradare

Amazons nya tjänst gör det möjligt för företag att flytta upp till 100 PB data åt gången till deras molntjänster, vilket görs genom att den fraktas i 14 meter långa långtradare. Läs mer

10

Gött häng med Geeks Gaming på Kappa Bar

Det vankas stream i annorlunda tappning med Geeks Gaming. På lördag besöker gänget e-sportbaren Kappa Bar i Göteborg, och givetvis blir det en helkväll med direktsändning på Twitch. Läs mer

44

Mass Effect: Andromeda visar grafikmuskler

Nästa år väntar ett nytt äventyr i Mass Effect-universumet där Andromedagalaxen står som spelplan. Nu visar Bioware och EA för första gången ett videoklipp från själva spelet. Läs mer

29

Test: Mionix Naos Quantified Gaming

Efter lång utvecklingstid har Mionix äntligen rullat ut sitt Kickstarter-projekt Naos QG – Quantified Gaming. Häng med till testlabbet för en ordentlig genomgång. Läs mer

76

Rösta fram bästa MSI-orienterade bygget i Webhallens tävling

Efter hård gallring av hundratals bidrag har juryn kommit fram till tre finalbyggen. Nu är det upp till SweClockers medlemmar att avgöra vilket som ska byggas ihop och säljas av Webhallen! Läs mer

56

Nokia återvänder till mobilmarknaden 2017

Varumärket Nokia har länge varit frånvarande från mobilmarknaden, men återvänder nästa år under ett licensavtal med finska HMD Global. Läs mer

21

Över en miljon Android-enheter infekterade med skadlig kod

Den senaste mjukvaruattacken mot Android-enheter heter Gooligan, som genom skadlig kod i applikationer stjäl e-mailkonton och annan känslig information. Läs mer

4

Nvidia Geforce GTX 1050 för bärbara datorer lanseras på CES 2017

Det blir bärbara speldatorer runt 10 000-kronorsstrecket i samband med CES 2017, som markerar startskottet för den mobila varianten av Geforce GTX 1050. Läs mer