Intervju: ESET om säkerhetshålet Heartbleed

Intervju: ESET om säkerhetshålet Heartbleed

En bugg i OpenSSL kan göra det möjligt att komma åt användaruppgifter och certifikat. SweClockers talar med säkerhetsföretaget ESET för att reda på konsekvenserna av Heartbleed.

Anders_Nilsson_ESET.jpg

Tidigare i veckan uppdagades en allvarlig bugg i krypteringskomponenten OpenSSL, en mycket välanvänd implementation av SSL- och TLS-protokollen med öppen källkod. Säkerhetshålet har satt hela IT-världen i gungning eftersom exempelvis hackare kan komma åt krypterade lösenord. Dessutom är eventuella attacker i de flesta fall omöjliga att spåra.

SweClockers talar med Anders Nilsson, teknikchef på säkerhetsföretaget ESET Sverige, för att få svar på några av de vanligaste frågorna om det uppmärksammade säkerhetshålet, som går under namnet Heartbleed.

Kan du berätta vad Heartbleed-buggen är för något och hur länge den har funnits?

– I krypteringsprotokollet TLS finns stöd för en ping-liknande instruktion, för att se att allting fungerar. Detta kallas Heartbeat och är anledningen till att buggen döpts till Heartbleed. I vissa versioner av vissa program och bibliotek kan denna returnera mer data från minnet än vad som är avsett (vilket kan utnyttjas av angripare /reds. anm).

– Angriparen kan visserligen inte välja vilket minne som ska läsas, utan det är bara nyligen allokerat minne på servern som returneras, som i princip kan vara vad som helst. Det har dock visat sig vara relativt lätt att få tag på känslig data som inloggningsuppgifter, certifikat och sessionsvariabler. Det är saker som ofta hamnar i minnet precis vid en anslutning till exempelvis en webbserver. Den tecknade serien Xkcd beskriver enkelt och bra hur buggen fungerar.

– Buggen i sig har funnits i över två år, det vill säga sedan Heartbeat-funktionen kom till. Det är först nu i dagarna den blivit "officiellt" känd. Det finns många inbyggda skydd som ska stoppa liknande saker från att hända, men OpenSSL-koden innehåller okonventionella metoder att göra det på för att vissa system annars kan få sämre prestanda, något som nu ifrågasatts efter upptäckten av buggen.

Vilka konsekvenser har Heartbleed i praktiken? Kan någon ta reda på mina lösenord?

– Förmodligen inte och det har inte heller upptäckts några konkreta bevis på att detta har utnyttjats i attacker. Men, eftersom angripare i teorin har kunnat läsa minne från servern, vet man aldrig vad som eventuellt kan ha läckt ut. Har du inte loggat in på tjänsten exakt när någon försöker angripa den kommer de troligtvis inte åt dina inloggningsuppgifter, men istället kan de ha kommit över information för att knäcka krypteringen eller för att ta sig in på servern.

– Beroende på vilken programkod som den anslutande klienten använder kan även klienten/datorn som ansluter vara sårbar. Det vill säga att om man ansluter till en server kan servern försöka få minne från klienten på samma sätt genom Heartbleed-buggen.

Är några större webbplatser och tjänster drabbade?

– Amazons lastbalanserare (ELB) var sårbara och flera webbplatser använder dem. Även Facebook, Instagram, Google och Dropbox har varit sårbara. Det har åtgärdats nu och det finns som sagt inga konkreta exempel på att någon angripare kommit åt något.

Hur kan jag kontrollera om en tjänst är drabbad?

– Det finns ett par olika webbplatser där där det går att kontrollera om en adress är sårbar, bland annat Lastpass och Filippio.

Vilka åtgärder bör användare vidta?

– Förmodligen är det ingen större fara för gemene man, men det kan vara bra att ta tillfället i akt och byta "alla" lösenord. Både för att vara på den säkra sidan och för att det är en god vana att byta ibland.

Tack för pratstunden!

Tack själv!

Kommentarer till artikeln

50 debattinlägg

Skicka en rättelse
5

Zotac Geforce GTX 1650 med låg profil hittar ut på webben

Arkitekturen Turing har genom Geforce GTX 1600-serien letat sig ned till en relativt strömsnål nivå. Nu avslöjar bilder en kommande lågprofils-modell av Geforce GTX 1650, signerad Zotac. Läs mer

29

EK Water Blocks släpper Lignum-serien – trätäckt hårdvara för vattenkylning

Stilfulla detaljer av trä är det genomgående temat för den nya produktserien Lignum, där EK Water Blocks uppgraderar befintliga vattenblock och kompressionsanslutningar med valnöt. Läs mer

17

Teknikstund: Välj rätt bildskärmskabel för Displayport och HDMI

Tack vare certifiering kan du välja rätt Displayport- och HDMI-kabel som fungerar med den bildsignal du tänkt köra. SweClockers guidar till vad som gäller när du väljer bildskärmskabel. Läs mer

33

Testpilot: 1More H1707 – Hifi-lurar till överkomligt pris

Uppstickaren 1More utmanar marknaden och siktar högt med hörlurarna H1707, som sticker ut genom tre säregna högtalarelement. Testpiloten Daniel "Dinoman" Ördén sätter paret på prov! Läs mer

34

RIME är gratis i Epic Games Store

Den som tilltalas av att lösa pussel i maklig takt i en spelvärld stöpt i vacker estetik bör bege sig till Epic Game Store som just nu bjuder på spelet RIME. Läs mer

I samarbete med Asus
21

Tävla och vinn Asus flaggskepp Zenfone 6 med massivt batteri

För att fira lanseringen av Zenfone 6 och lång batteritid arrangerar Asus en tävling för SweClockers medlemmar, som får chansen att vinna den nya flaggskeppsluren. Läs mer

63

Nvidia lockar med kort Geforce-relaterat videoklipp inför Computex

I en sexton sekunder lång videosekvens på Nvidias Geforce-kanal syns blott texten "super". Det kan handla om ett avtäckande under nästa veckas Computex-mässa. Läs mer

13

MSI bestyckar bärbara datorn Titan GT76 med stationär Core i9-processor

Den kommande bärbara speldatorn GT76 Titan får en skrivbordsklassad Core i9-processor, som enligt MSI ska kunna köras upp till 5 GHz för den våghalsige. Läs mer

52

TSMC: "Vår kretstillverkning åt Huawei påverkas inte av handelsblockaden"

Hårt ansatta Huawei får nu lite andrum då kretstillverkaren TSMC meddelar att deras samarbete med Huawei inte påverkas av den pågående handelsblockaden. Läs mer

34

Marknaden för spelskärmar över 100 Hz mer än dubblerades år 2018

Spelorienterade skärmar fortsätter att bli allt mer populära och segmentet mer än dubblerades förra året. Från ingenstans seglar MSI upp som femte största leverantör av spelskärmar. Läs mer

313

Het diskussion om kontantlöst samhälle och uttagsavgift från bankomater

De allra flesta är uppväxta med att kontanter är ett självklart betalmedel, men nu pekar alltmer mot att sedlar och mynt vara på väg bort. Är det rätt av Bankomat att införa en avgift för uttag? Läs mer

20 ÅR
12

Throwback Thursday – populära Mini ITX-chassit Bitfenix Prodigy fyller sju år

För sju år sedan lanserades det populära Mini ITX-chassit Bitfenix Prodigy – en modell som bjöd på imponerande expansionmöjligheter för storleken och satte standarden för sin tid. Läs mer