Intervju: ESET om säkerhetshålet Heartbleed

Intervju: ESET om säkerhetshålet Heartbleed

En bugg i OpenSSL kan göra det möjligt att komma åt användaruppgifter och certifikat. SweClockers talar med säkerhetsföretaget ESET för att reda på konsekvenserna av Heartbleed.

Anders_Nilsson_ESET.jpg

Tidigare i veckan uppdagades en allvarlig bugg i krypteringskomponenten OpenSSL, en mycket välanvänd implementation av SSL- och TLS-protokollen med öppen källkod. Säkerhetshålet har satt hela IT-världen i gungning eftersom exempelvis hackare kan komma åt krypterade lösenord. Dessutom är eventuella attacker i de flesta fall omöjliga att spåra.

SweClockers talar med Anders Nilsson, teknikchef på säkerhetsföretaget ESET Sverige, för att få svar på några av de vanligaste frågorna om det uppmärksammade säkerhetshålet, som går under namnet Heartbleed.

Kan du berätta vad Heartbleed-buggen är för något och hur länge den har funnits?

– I krypteringsprotokollet TLS finns stöd för en ping-liknande instruktion, för att se att allting fungerar. Detta kallas Heartbeat och är anledningen till att buggen döpts till Heartbleed. I vissa versioner av vissa program och bibliotek kan denna returnera mer data från minnet än vad som är avsett (vilket kan utnyttjas av angripare /reds. anm).

– Angriparen kan visserligen inte välja vilket minne som ska läsas, utan det är bara nyligen allokerat minne på servern som returneras, som i princip kan vara vad som helst. Det har dock visat sig vara relativt lätt att få tag på känslig data som inloggningsuppgifter, certifikat och sessionsvariabler. Det är saker som ofta hamnar i minnet precis vid en anslutning till exempelvis en webbserver. Den tecknade serien Xkcd beskriver enkelt och bra hur buggen fungerar.

– Buggen i sig har funnits i över två år, det vill säga sedan Heartbeat-funktionen kom till. Det är först nu i dagarna den blivit "officiellt" känd. Det finns många inbyggda skydd som ska stoppa liknande saker från att hända, men OpenSSL-koden innehåller okonventionella metoder att göra det på för att vissa system annars kan få sämre prestanda, något som nu ifrågasatts efter upptäckten av buggen.

Vilka konsekvenser har Heartbleed i praktiken? Kan någon ta reda på mina lösenord?

– Förmodligen inte och det har inte heller upptäckts några konkreta bevis på att detta har utnyttjats i attacker. Men, eftersom angripare i teorin har kunnat läsa minne från servern, vet man aldrig vad som eventuellt kan ha läckt ut. Har du inte loggat in på tjänsten exakt när någon försöker angripa den kommer de troligtvis inte åt dina inloggningsuppgifter, men istället kan de ha kommit över information för att knäcka krypteringen eller för att ta sig in på servern.

– Beroende på vilken programkod som den anslutande klienten använder kan även klienten/datorn som ansluter vara sårbar. Det vill säga att om man ansluter till en server kan servern försöka få minne från klienten på samma sätt genom Heartbleed-buggen.

Är några större webbplatser och tjänster drabbade?

– Amazons lastbalanserare (ELB) var sårbara och flera webbplatser använder dem. Även Facebook, Instagram, Google och Dropbox har varit sårbara. Det har åtgärdats nu och det finns som sagt inga konkreta exempel på att någon angripare kommit åt något.

Hur kan jag kontrollera om en tjänst är drabbad?

– Det finns ett par olika webbplatser där där det går att kontrollera om en adress är sårbar, bland annat Lastpass och Filippio.

Vilka åtgärder bör användare vidta?

– Förmodligen är det ingen större fara för gemene man, men det kan vara bra att ta tillfället i akt och byta "alla" lösenord. Både för att vara på den säkra sidan och för att det är en god vana att byta ibland.

Tack för pratstunden!

Tack själv!

Kommentarer till artikeln

50 debattinlägg

Skicka en rättelse
15

Snabbtitt: Corsair One Pro

Corsair ger sig ut på nya jaktmarker med färdigbyggda speldatorer. Vattenkylda Corsair One Pro med Core i7-7700K och Geforce GTX 1080 under huven dyker in i testlabbet för en snabbtitt! Läs mer

18

Vulkan med flera grafikkort är inte låst till Windows 10

Inom kort väntas det bli möjligt att använda Vulkan med mer än ett grafikkort. Nu meddelar utvecklarna av Vulkan att stöd för detta kommer finnas på såväl Windows som Linux. Läs mer

21

Krönika: "Lita på det gröna hänglåset?"

Det gröna hänglåset i webbläsaren är bra, men kan invagga användare i falsk trygghet. Det menar gästkrönikören Karl Emil Nikka, och presenterar samtidigt möjliga lösningar på problemet. Läs mer

41

Qualcomm Snapdragon 835 i tidiga prestandatester

Qualcomms nya systemkrets Snapdragon 835 introduceras inom kort i ett flertal flaggskeppstelefoner, men redan nu har utvald media fått chansen att prestandatesta denna. Läs mer

63

Alina Systems går i konkurs

Efter en misslyckad företagsrekonstruktion under förra året har nu den Uppsala-baserade datoråterförsäljaren Alina Systems försatts i konkurs. Läs mer

40

Nintendo svarar om anslutningsproblemen i Joycon-kontrollerna hos Switch

Efter ett flertal rapporter om krånglande Joycon-kontroller hos spelkonsolen Switch tar Nintendo bladet från munnen och släpper ett officiellt uttalande om problemen. Läs mer

123

Telia utökar sin fri surf-kampanj med fler tjänster

Trots föreläggande från Post- och telestyrelsen meddelar nu Telia att de utökar sin fri surf-kampanj, där kunder nu kan använda exempelvis Viber utan extra kostnad. Läs mer

21

MSI förbereder stöd för XMP-profiler ihop med AMD Ryzen

Inom kort blir det möjligt för användare av MSI:s AM4-baserade moderkort att använda sig av minnesprofilen XMP för att lättare kunna ställa in hastighet och latenser för berörda moduler. Läs mer

15

Två medlemmar vinner ljudprodukter från Blue Microphones

Efter att ha sökt igenom bidragen har nu juryn utsett två vinnare i Blue Microphones tävling, vilka vinner varsitt paket innehållande hörlurar och mikrofon signerade av Ninjas in Pyjamas. Läs mer

5

Testpilot: Förhandstitt på AOC Agon AG251FZ

Häng med när testpiloten David Kvist tar en snabbtitt på den kommande testprodukten Agon AG251FZ, AOC:s senaste spelskärm med en bilduppdateringsfrekvens på 240 Hz. Läs mer

13

Epicgear lanserar uppdaterad Morpha X med RGB-belysning

Taiwanesiska Epicgear uppdaterar spelmusen Morpha X RGB med bland annat färgrik belysning, men behåller samma modulära egenskaper som tidigare modell. Läs mer

71

Corsair lanserar Vengeance RGB – minnen med mjukvarustyrd belysning

I enlighet med trenden att allt i datorn ska lysa i regnbågens färger släpper Corsair nu lös Vengeance RGB, en serie DDR4-minnen med integrerad kabelfri belysning. Läs mer