Intervju: ESET om säkerhetshålet Heartbleed

Intervju: ESET om säkerhetshålet Heartbleed

En bugg i OpenSSL kan göra det möjligt att komma åt användaruppgifter och certifikat. SweClockers talar med säkerhetsföretaget ESET för att reda på konsekvenserna av Heartbleed.

Anders_Nilsson_ESET.jpg

Tidigare i veckan uppdagades en allvarlig bugg i krypteringskomponenten OpenSSL, en mycket välanvänd implementation av SSL- och TLS-protokollen med öppen källkod. Säkerhetshålet har satt hela IT-världen i gungning eftersom exempelvis hackare kan komma åt krypterade lösenord. Dessutom är eventuella attacker i de flesta fall omöjliga att spåra.

SweClockers talar med Anders Nilsson, teknikchef på säkerhetsföretaget ESET Sverige, för att få svar på några av de vanligaste frågorna om det uppmärksammade säkerhetshålet, som går under namnet Heartbleed.

Kan du berätta vad Heartbleed-buggen är för något och hur länge den har funnits?

– I krypteringsprotokollet TLS finns stöd för en ping-liknande instruktion, för att se att allting fungerar. Detta kallas Heartbeat och är anledningen till att buggen döpts till Heartbleed. I vissa versioner av vissa program och bibliotek kan denna returnera mer data från minnet än vad som är avsett (vilket kan utnyttjas av angripare /reds. anm).

– Angriparen kan visserligen inte välja vilket minne som ska läsas, utan det är bara nyligen allokerat minne på servern som returneras, som i princip kan vara vad som helst. Det har dock visat sig vara relativt lätt att få tag på känslig data som inloggningsuppgifter, certifikat och sessionsvariabler. Det är saker som ofta hamnar i minnet precis vid en anslutning till exempelvis en webbserver. Den tecknade serien Xkcd beskriver enkelt och bra hur buggen fungerar.

– Buggen i sig har funnits i över två år, det vill säga sedan Heartbeat-funktionen kom till. Det är först nu i dagarna den blivit "officiellt" känd. Det finns många inbyggda skydd som ska stoppa liknande saker från att hända, men OpenSSL-koden innehåller okonventionella metoder att göra det på för att vissa system annars kan få sämre prestanda, något som nu ifrågasatts efter upptäckten av buggen.

Vilka konsekvenser har Heartbleed i praktiken? Kan någon ta reda på mina lösenord?

– Förmodligen inte och det har inte heller upptäckts några konkreta bevis på att detta har utnyttjats i attacker. Men, eftersom angripare i teorin har kunnat läsa minne från servern, vet man aldrig vad som eventuellt kan ha läckt ut. Har du inte loggat in på tjänsten exakt när någon försöker angripa den kommer de troligtvis inte åt dina inloggningsuppgifter, men istället kan de ha kommit över information för att knäcka krypteringen eller för att ta sig in på servern.

– Beroende på vilken programkod som den anslutande klienten använder kan även klienten/datorn som ansluter vara sårbar. Det vill säga att om man ansluter till en server kan servern försöka få minne från klienten på samma sätt genom Heartbleed-buggen.

Är några större webbplatser och tjänster drabbade?

– Amazons lastbalanserare (ELB) var sårbara och flera webbplatser använder dem. Även Facebook, Instagram, Google och Dropbox har varit sårbara. Det har åtgärdats nu och det finns som sagt inga konkreta exempel på att någon angripare kommit åt något.

Hur kan jag kontrollera om en tjänst är drabbad?

– Det finns ett par olika webbplatser där där det går att kontrollera om en adress är sårbar, bland annat Lastpass och Filippio.

Vilka åtgärder bör användare vidta?

– Förmodligen är det ingen större fara för gemene man, men det kan vara bra att ta tillfället i akt och byta "alla" lösenord. Både för att vara på den säkra sidan och för att det är en god vana att byta ibland.

Tack för pratstunden!

Tack själv!

Kommentarer till artikeln

50 debattinlägg

Skicka en rättelse
28

Test: Fractal Design Meshify C

Fractal Design skiftar fokus från tystnad till högt luftflöde med den nya chassiserien Meshify, där premiärmodellen Meshify C tar plats i SweClockers testlabb för en ordentlig genomgång. Läs mer

146

Intel: "Core i7-8700K är 51 procent snabbare än Core i7-7700K"

Efter en utbildning för återförsäljare läcker Intels officiella prestandasiffror för Coffee Lake ut på webben, där fler kärnor resulterar i rejäla prestandaökningar mot dagens Kaby Lake. Läs mer

49

HMD tillkännager flaggskeppstelefonen Nokia 8

Telefontillverkaren HMD har tidigare under året lanserat smarta telefoner märkta Nokia. Dessa telefoner har främst varit riktade till budgetsegmentet, men nu presenteras flaggskeppet Nokia 8. Läs mer

30

Alphacool tillkännager sluten vattenkylning och vattenblock för AMD Radeon RX Vega

För de som inte nöjer sig med luftkylning presenterar nu Alphacool sluten vattenkylning och vattenblock anpassade för Radeon RX Vega. Läs mer

10

Nvidia släpper 4K-trailer för Destiny 2 inför den öppna betan

Inför att det öppna betatestet av Destiny 2 för PC/Windows går av stapeln släpper Nvidia en trailer riktad mot PC-spelare, i 4K UHD-upplösning och 60 FPS. Läs mer

57

Intel haussar nionde generationens Core "Ice Lake" på 10 nanometer

Redan innan lansering av Coffee Lake och Cannon Lake går Intel ut med att efterföljande Ice Lake ingår i nionde generationens Core, något som skapar förvirring om vad som komma skall. Läs mer

18

Priset på grafikminne från Samsung och SK Hynix skjuter i höjden

Under den senaste månaden har priset på grafikminne från Samsung och SK Hynix ökat med cirka 30 procent, något som beror på en ökad satsning på minne för servrar och smarta telefoner. Läs mer

71

AMD släpper Radeon-drivrutin optimerad för brytning av kryptovalutor

Efter att AMD:s grafikkort blivit allt mer eftertraktade i syftet att bryta kryptovalutor, släpper bolaget en drivrutin med särskilda optimeringar för ändamålet. Läs mer

24

Testpilot: Creative Sound Blaster X H7 Tournament Edition

Med virtuellt surroundljud och funktionsrik mjukvara tar Creative än en gång sikte på datorspelare som söker nytt headset. Testpiloten Alling granskar årets modell med suffixet Tournament Edition. Läs mer

5

Egendesignad CNC-fräs vinner Månadens Galleri augusti 2017

Moddaren Brodholm kammar för andra gången i rad hem första platsen i Månadens Galleri, den här gången med sin hembyggda CNC-fräs. Läs mer

27

Alphacool lanserar Eisbaer 420 – världens största slutna vattenkylare

För den som kräver mycket kylningsprestanda lanserar nu Alphacool Eisbaer 420, ett slutet vattenkylningssystem med en radiator på hela 420 mm. Läs mer

70

Game of Thrones-avsnitt råkar sändas i förtid och hittar ut på fildelningssajter

Spanska HBO råkade tidigare under veckan ladda upp senaste Game of Thrones-avsnittet i förtid, vilket lett till att det nu letat sig ut på nätet. Läs mer