Intervju: ESET om säkerhetshålet Heartbleed

Intervju: ESET om säkerhetshålet Heartbleed

En bugg i OpenSSL kan göra det möjligt att komma åt användaruppgifter och certifikat. SweClockers talar med säkerhetsföretaget ESET för att reda på konsekvenserna av Heartbleed.

Anders_Nilsson_ESET.jpg

Tidigare i veckan uppdagades en allvarlig bugg i krypteringskomponenten OpenSSL, en mycket välanvänd implementation av SSL- och TLS-protokollen med öppen källkod. Säkerhetshålet har satt hela IT-världen i gungning eftersom exempelvis hackare kan komma åt krypterade lösenord. Dessutom är eventuella attacker i de flesta fall omöjliga att spåra.

SweClockers talar med Anders Nilsson, teknikchef på säkerhetsföretaget ESET Sverige, för att få svar på några av de vanligaste frågorna om det uppmärksammade säkerhetshålet, som går under namnet Heartbleed.

Kan du berätta vad Heartbleed-buggen är för något och hur länge den har funnits?

– I krypteringsprotokollet TLS finns stöd för en ping-liknande instruktion, för att se att allting fungerar. Detta kallas Heartbeat och är anledningen till att buggen döpts till Heartbleed. I vissa versioner av vissa program och bibliotek kan denna returnera mer data från minnet än vad som är avsett (vilket kan utnyttjas av angripare /reds. anm).

– Angriparen kan visserligen inte välja vilket minne som ska läsas, utan det är bara nyligen allokerat minne på servern som returneras, som i princip kan vara vad som helst. Det har dock visat sig vara relativt lätt att få tag på känslig data som inloggningsuppgifter, certifikat och sessionsvariabler. Det är saker som ofta hamnar i minnet precis vid en anslutning till exempelvis en webbserver. Den tecknade serien Xkcd beskriver enkelt och bra hur buggen fungerar.

– Buggen i sig har funnits i över två år, det vill säga sedan Heartbeat-funktionen kom till. Det är först nu i dagarna den blivit "officiellt" känd. Det finns många inbyggda skydd som ska stoppa liknande saker från att hända, men OpenSSL-koden innehåller okonventionella metoder att göra det på för att vissa system annars kan få sämre prestanda, något som nu ifrågasatts efter upptäckten av buggen.

Vilka konsekvenser har Heartbleed i praktiken? Kan någon ta reda på mina lösenord?

– Förmodligen inte och det har inte heller upptäckts några konkreta bevis på att detta har utnyttjats i attacker. Men, eftersom angripare i teorin har kunnat läsa minne från servern, vet man aldrig vad som eventuellt kan ha läckt ut. Har du inte loggat in på tjänsten exakt när någon försöker angripa den kommer de troligtvis inte åt dina inloggningsuppgifter, men istället kan de ha kommit över information för att knäcka krypteringen eller för att ta sig in på servern.

– Beroende på vilken programkod som den anslutande klienten använder kan även klienten/datorn som ansluter vara sårbar. Det vill säga att om man ansluter till en server kan servern försöka få minne från klienten på samma sätt genom Heartbleed-buggen.

Är några större webbplatser och tjänster drabbade?

– Amazons lastbalanserare (ELB) var sårbara och flera webbplatser använder dem. Även Facebook, Instagram, Google och Dropbox har varit sårbara. Det har åtgärdats nu och det finns som sagt inga konkreta exempel på att någon angripare kommit åt något.

Hur kan jag kontrollera om en tjänst är drabbad?

– Det finns ett par olika webbplatser där där det går att kontrollera om en adress är sårbar, bland annat Lastpass och Filippio.

Vilka åtgärder bör användare vidta?

– Förmodligen är det ingen större fara för gemene man, men det kan vara bra att ta tillfället i akt och byta "alla" lösenord. Både för att vara på den säkra sidan och för att det är en god vana att byta ibland.

Tack för pratstunden!

Tack själv!

Kommentarer till artikeln

50 debattinlägg

Skicka en rättelse
27

Test: AOC Agon AG352UCG – ultrabred spelskärm med 100 Hz VA-panel och G-Sync

AOC:s senaste gamingskärm Agon AG352UCG passerar testlabbet, med en upplösning på 3 440 × 1 440 pixlar, Nvidia G-sync och 100 Hz uppdateringsfrekvens. Läs mer

25

Nvidia kontrar Radeon RX 550 med "GP108" och Geforce GT 1030

Det blåser upp till storm i instegssegmentet när Nvidia söker att kontra AMD Radeon RX 550 med Geforce GT 1030, som samtidigt ska ha lägre strömförbrukning. Läs mer

13

Razer tillkännager den trådlösa spelmusen Lancehead

Amerikanska Razer siktar på tronen för bästa trådlösa spelmus och med den senaste skapelsen Lancehead, som dessutom får en trådad syskonmodell. Läs mer

14

Cooler Master döms för patentintrång – får betala 5,3 miljoner kronor till Asetek

Efter lite mindre än två år är rättstvisten mellan Asetek och Cooler Master avslutad, där Cooler Master döms att betala böter i miljonklassen för patentintrång. Läs mer

11

Intel LGA 2066 för Skylake-X har samma kylarmontering som sockel LGA 2011-3

Det vankas ny sockel till Intels Skylake-X med upp till tolv kärnor och Kaby Lake-X. Den som planerar uppgradera slipper dock köpa ny kylare, det bekräftar Noctua. Läs mer

22

Nintendo tillkännager New 2DS XL

I ett något oväntat drag tillkännager Nintendo spelkonsolen New 2DS XL, en kraftfullare uppdaterad version av fyra år gamla 2DS med ny design. Läs mer

56

Acer avtäcker Predator X27 med 4K UHD i 144 Hz, Nvidia G-Sync och HDR

Taiwanesiska Acer går "all-in" med skärmen Predator X27, som utöver 4K-upplösning och 144 Hz fylls till brädden med andra funktioner som Nvidia G-Sync och HDR. Läs mer

57

Teknikdemo visar Project Scorpios potential i 4K UHD och 1080p

Nya bilder visar hur Microsofts kommande konsol ska förbättra den grafiska upplevelsen i både 4K- och 1080p, med bland annat större texturer och supersampling-teknik. Läs mer

5

Fulkultur om Marvel i film och TV-serier

Fulkultur återvänder till att prata om Marvel och deras superhjältar, men denna gång flyttas fokus från serietidningar till vita duken. Läs mer

19

Kom på din egen shoppingfest och vinn bärbar speldator från CDON

CDON drar åter igång sin shoppingfest Green Friday, där de utlovar erbjudanden i nivå med Black Friday. För att fira tävlar återförsäljaren ut en bärbar speldator värd 15 490 kronor. Läs mer

21

Nintendo sålde 2,7 miljoner Switch-enheter under första månaden

Spelkonsoltillverkaren Nintendo presenterar sin första kvartalsrapport för år 2017, av vilken det framgår att företaget sålt totalt 2,74 miljoner Switch-enheter under mars månad. Läs mer

45

Call of Duty: WWII avtäckt

Trenden trogen tillkännager Activision den senaste delen i spelserien Call of Duty, vilken blir den första på många år som utspelar sig under andra världskriget. Läs mer