Intervju: ESET om säkerhetshålet Heartbleed

Intervju: ESET om säkerhetshålet Heartbleed

En bugg i OpenSSL kan göra det möjligt att komma åt användaruppgifter och certifikat. SweClockers talar med säkerhetsföretaget ESET för att reda på konsekvenserna av Heartbleed.

Anders_Nilsson_ESET.jpg

Tidigare i veckan uppdagades en allvarlig bugg i krypteringskomponenten OpenSSL, en mycket välanvänd implementation av SSL- och TLS-protokollen med öppen källkod. Säkerhetshålet har satt hela IT-världen i gungning eftersom exempelvis hackare kan komma åt krypterade lösenord. Dessutom är eventuella attacker i de flesta fall omöjliga att spåra.

SweClockers talar med Anders Nilsson, teknikchef på säkerhetsföretaget ESET Sverige, för att få svar på några av de vanligaste frågorna om det uppmärksammade säkerhetshålet, som går under namnet Heartbleed.

Kan du berätta vad Heartbleed-buggen är för något och hur länge den har funnits?

– I krypteringsprotokollet TLS finns stöd för en ping-liknande instruktion, för att se att allting fungerar. Detta kallas Heartbeat och är anledningen till att buggen döpts till Heartbleed. I vissa versioner av vissa program och bibliotek kan denna returnera mer data från minnet än vad som är avsett (vilket kan utnyttjas av angripare /reds. anm).

– Angriparen kan visserligen inte välja vilket minne som ska läsas, utan det är bara nyligen allokerat minne på servern som returneras, som i princip kan vara vad som helst. Det har dock visat sig vara relativt lätt att få tag på känslig data som inloggningsuppgifter, certifikat och sessionsvariabler. Det är saker som ofta hamnar i minnet precis vid en anslutning till exempelvis en webbserver. Den tecknade serien Xkcd beskriver enkelt och bra hur buggen fungerar.

– Buggen i sig har funnits i över två år, det vill säga sedan Heartbeat-funktionen kom till. Det är först nu i dagarna den blivit "officiellt" känd. Det finns många inbyggda skydd som ska stoppa liknande saker från att hända, men OpenSSL-koden innehåller okonventionella metoder att göra det på för att vissa system annars kan få sämre prestanda, något som nu ifrågasatts efter upptäckten av buggen.

Vilka konsekvenser har Heartbleed i praktiken? Kan någon ta reda på mina lösenord?

– Förmodligen inte och det har inte heller upptäckts några konkreta bevis på att detta har utnyttjats i attacker. Men, eftersom angripare i teorin har kunnat läsa minne från servern, vet man aldrig vad som eventuellt kan ha läckt ut. Har du inte loggat in på tjänsten exakt när någon försöker angripa den kommer de troligtvis inte åt dina inloggningsuppgifter, men istället kan de ha kommit över information för att knäcka krypteringen eller för att ta sig in på servern.

– Beroende på vilken programkod som den anslutande klienten använder kan även klienten/datorn som ansluter vara sårbar. Det vill säga att om man ansluter till en server kan servern försöka få minne från klienten på samma sätt genom Heartbleed-buggen.

Är några större webbplatser och tjänster drabbade?

– Amazons lastbalanserare (ELB) var sårbara och flera webbplatser använder dem. Även Facebook, Instagram, Google och Dropbox har varit sårbara. Det har åtgärdats nu och det finns som sagt inga konkreta exempel på att någon angripare kommit åt något.

Hur kan jag kontrollera om en tjänst är drabbad?

– Det finns ett par olika webbplatser där där det går att kontrollera om en adress är sårbar, bland annat Lastpass och Filippio.

Vilka åtgärder bör användare vidta?

– Förmodligen är det ingen större fara för gemene man, men det kan vara bra att ta tillfället i akt och byta "alla" lösenord. Både för att vara på den säkra sidan och för att det är en god vana att byta ibland.

Tack för pratstunden!

Tack själv!

Kommentarer till artikeln

50 debattinlägg

Skicka en rättelse
42

Intel "Coffee Lake" och styrkretsen Z370 lanseras fjärde kvartalet 2017

Den åttonde generationens Core-processorer "Coffee Lake" släpps i slutet av året och får sällskap av styrkretsen Z370. Uppgifter till SweClockers talar dock om att generationen kan bli kortlivad. Läs mer

22

Test: Philips Brilliance BDM4037UW – enorm 40-tumsskärm med VA-panel

Stora och rymliga 4K-skärmar för skrivbord är en spännande nisch där Philips är kända sedan länge. Med modellen BDM4037UW har företaget en intressant och smetig historia att berätta. Läs mer

41

Samsung 850 Pro kastar in handduken efter 9 100 skrivna terabyte

I ett större test av SSD-enheters hållbarhet vid går Samsungs populära 850 Pro vinnande ur striden, där den inte gav upp förrän efter 9 100 terabyte skriven data. Läs mer

13

Toshiba först med QLC NAND med fyra bitar data per minnescell

Trots fortsatt skepsis kring för TLC går Toshiba ut med att de är på gång med QLC-flashminne, där fyra bitar data per minnescell borgar för höga kapaciteter i såväl SSD-enheter som telefoner. Läs mer

22

Biostar lanserar TB250-BTC PRO – utrustas med tolv PCI Express

I och med den ökande populariteten för "mining" av kryptovalutor släpper Biostar ett nytt LGA 1151-moderkort med hela tolv PCI Express-anslutningar. Läs mer

33

Spelbiblioteket för SNES Classic Edition skiljer sig mellan regionerna

En uppföljare till förra årets krympta variant av NES nalkas i form av SNES Classic Edition och nu framgår det att konsolens spelbibliotek inte ser likadant ut i alla regioner. Läs mer

27

NVMe-standarden för SSD-enheter får rejäl uppgradering

Specifikationen bakom NVM Express får sin första uppgradering på tre år, där majoriteten av nyheterna berör främst virtualisering av SSD-lagring i serverhallar. Läs mer

25

Inncable är Android-dator integrerad i en nätverkskabel

Hotellbranschen brottas ständigt med ny teknik. Nu tar företaget Innspire sikte på TV-apparater där nya Inncable ska göra hotellens TV-apparater smarta. Läs mer

17

Nintendo gör fler SNES Classic Edition än minivarianten av NES

Inför lanseringen av SNES Classic Edition lovar Nintendo att tillverka fler enheter än tidigare NES Classic Edition, men antyder samtidigt att även denna kan få en kort livscykel. Läs mer

20

Mionix lanserar Wei med RGB-belysning

Det svenska företaget Mionix som specialiserar sig på kringutrustning släpper nu sitt första tangentbord med RGB-belysning – Mionix Wei. Läs mer

66

EU dömer Google till rekordböter

Den europeiska kommissionen dömer Google till rekordböter i miljardklassen. Samtidigt åläggs bolaget ändra i sina sökalgoritmer för att inte missgynna konkurrerande tjänster. Läs mer

27

Call of Duty: Modern Warfare Remastered släpps i fristående version

Efter att ursprungligen ha sålts ihop med Call of Duty: Infinite Warfare i påkostade utgåvor släpps Call of Duty: Modern Warfare Remastered i en fristående version. Läs mer