Intervju: ESET om säkerhetshålet Heartbleed

Intervju: ESET om säkerhetshålet Heartbleed

En bugg i OpenSSL kan göra det möjligt att komma åt användaruppgifter och certifikat. SweClockers talar med säkerhetsföretaget ESET för att reda på konsekvenserna av Heartbleed.

Anders_Nilsson_ESET.jpg

Tidigare i veckan uppdagades en allvarlig bugg i krypteringskomponenten OpenSSL, en mycket välanvänd implementation av SSL- och TLS-protokollen med öppen källkod. Säkerhetshålet har satt hela IT-världen i gungning eftersom exempelvis hackare kan komma åt krypterade lösenord. Dessutom är eventuella attacker i de flesta fall omöjliga att spåra.

SweClockers talar med Anders Nilsson, teknikchef på säkerhetsföretaget ESET Sverige, för att få svar på några av de vanligaste frågorna om det uppmärksammade säkerhetshålet, som går under namnet Heartbleed.

Kan du berätta vad Heartbleed-buggen är för något och hur länge den har funnits?

– I krypteringsprotokollet TLS finns stöd för en ping-liknande instruktion, för att se att allting fungerar. Detta kallas Heartbeat och är anledningen till att buggen döpts till Heartbleed. I vissa versioner av vissa program och bibliotek kan denna returnera mer data från minnet än vad som är avsett (vilket kan utnyttjas av angripare /reds. anm).

– Angriparen kan visserligen inte välja vilket minne som ska läsas, utan det är bara nyligen allokerat minne på servern som returneras, som i princip kan vara vad som helst. Det har dock visat sig vara relativt lätt att få tag på känslig data som inloggningsuppgifter, certifikat och sessionsvariabler. Det är saker som ofta hamnar i minnet precis vid en anslutning till exempelvis en webbserver. Den tecknade serien Xkcd beskriver enkelt och bra hur buggen fungerar.

– Buggen i sig har funnits i över två år, det vill säga sedan Heartbeat-funktionen kom till. Det är först nu i dagarna den blivit "officiellt" känd. Det finns många inbyggda skydd som ska stoppa liknande saker från att hända, men OpenSSL-koden innehåller okonventionella metoder att göra det på för att vissa system annars kan få sämre prestanda, något som nu ifrågasatts efter upptäckten av buggen.

Vilka konsekvenser har Heartbleed i praktiken? Kan någon ta reda på mina lösenord?

– Förmodligen inte och det har inte heller upptäckts några konkreta bevis på att detta har utnyttjats i attacker. Men, eftersom angripare i teorin har kunnat läsa minne från servern, vet man aldrig vad som eventuellt kan ha läckt ut. Har du inte loggat in på tjänsten exakt när någon försöker angripa den kommer de troligtvis inte åt dina inloggningsuppgifter, men istället kan de ha kommit över information för att knäcka krypteringen eller för att ta sig in på servern.

– Beroende på vilken programkod som den anslutande klienten använder kan även klienten/datorn som ansluter vara sårbar. Det vill säga att om man ansluter till en server kan servern försöka få minne från klienten på samma sätt genom Heartbleed-buggen.

Är några större webbplatser och tjänster drabbade?

– Amazons lastbalanserare (ELB) var sårbara och flera webbplatser använder dem. Även Facebook, Instagram, Google och Dropbox har varit sårbara. Det har åtgärdats nu och det finns som sagt inga konkreta exempel på att någon angripare kommit åt något.

Hur kan jag kontrollera om en tjänst är drabbad?

– Det finns ett par olika webbplatser där där det går att kontrollera om en adress är sårbar, bland annat Lastpass och Filippio.

Vilka åtgärder bör användare vidta?

– Förmodligen är det ingen större fara för gemene man, men det kan vara bra att ta tillfället i akt och byta "alla" lösenord. Både för att vara på den säkra sidan och för att det är en god vana att byta ibland.

Tack för pratstunden!

Tack själv!

Kommentarer till artikeln

50 debattinlägg

Skicka en rättelse
48

Återförsäljare: Inga fler NES Classic Edition

Det är full fart i svängarna runt NES Classic Edition. Nu meddelar återförsäljare att produktionen upphör – tvärt emot Nintendos officiella information. Läs mer

44

Test: Intel Core i3-7350K och Pentium G4560

SweClockers testlabb får besök av fler Kaby Lake-processorer i form av den första upplåsta Core i3-modellen samt budgetorienterade, och numera Hyperthreading-bestyckade, Pentium G4560. Läs mer

94

AMD Ryzen 7 1700X med åtta kärnor prestandatestas

Ny information om AMD Ryzen fortsätter dyka upp på webben. Denna gång är det resultat för Ryzen 7 1700X i diverse testmjukvaror, vilka visar på bättre prestanda än flera Intel-modeller. Läs mer

79

Telia: "Vi kommer inte blockera Pirate Bay"

Kort efter domen mot Bredbandsbolaget meddelar nu Telia att de inte kommer införa någon blockering av The Pirate Bay, såvida de inte tvingas till detta genom ett domstolsbeslut. Läs mer

56

AMD Ryzen-kylare hittar ut på bild – får namnen Wraith Max och Wraith Spire

Kort efter att bilder på färdiga exemplar av AMD:s kommande processor Ryzen hittat ut på webben efterföljs nu detta av de medföljande standardkylarna. Läs mer

50

AOC avtäcker två nya spelskärmar på 27 och 31,5 tum med AMD Freesync och 144 Hz

Med fokus på gamers introducerar AOC nu två nya skärmar i företagets Agon-serie. Det handlar om två högupplösta modeller med stöd för AMD Freesync och hög bilduppdateringsfrekvens. Läs mer

77

AMD Ryzen hittar ut på bild

Inom kort lanserar AMD sin nya processorarkitektur Ryzen. Nu har de första bilderna på de färdiga processorerna hittat ut på webben, samt även ingenjörsexemplar. Läs mer

84

Nintendo Switch plockas isär och hittar ut på webben

Inför den stundande lanseringen av Nintendo Switch dyker nu bilder på konsolen i isärplockat läge upp på webben, vilka skvallrar om enhetens komponenter. Läs mer

14

Microsoft kan lansera nytt Hololens 2019

Nya uppgifter talar för att nästa version av Hololens kan komma först 2019. Detta då Microsoft hoppar över en planerad inkrementell uppgradering till fördel för en mer omfattande. Läs mer

20

Phanteks lanserar skräddarsydda vattenblock för Geforce GTX 1080

Holländska Phanteks breddar sitt sortiment av heltäckande vattenblock för grafikkort med särskilt framtagna modeller för partnertillverkarnas egna varianter av Geforce GTX 1080. Läs mer

71

Geforce GTX 1080 Ti bekräftas i systemkrav

I systemkraven för kommande strategispelet Halo Wars 2 avslöjas nästa grafikkortsmodell från Nvidia, nämligen Geforce GTX 1080 Ti. Läs mer

187

Media Markt förnekar beslut om reträtt

Det är snabba turer i frågan runt huruvida Media Markt planerar att lämna den svenska marknaden. I ett meddelande förnekar företagets lokala VD att ett beslut är fattat. Läs mer