Eksperter har opdaget et alvorligt sikkerhedshul i krypteringsprotokollen OpenSSL, der har eksisteret siden 2012. OpenSSL er en open source-implementering af SSL- og TLS-protokollen, og det nyopdagede hul går under navnet Heartbleed og påvirker versionerne fra 1.0.1 til 1.0.1f. Den nyopdagede sårbarhed har karakter af et manglende sikkerhedscheck i forbindelse med udvidelsen Heartbeat (deraf navnet Heartbleed).
Sårbarheden giver mulighed for at overvåge krypteret kommunikation mellem en bruger og en web-tjeneste, og ifølge sikkerhedseksperter fra Codenomicon, der opdagede Heartbleed-hullet, kan det skabe seriøs ravage på internettet.
OpenSSL bruges nemlig ifølge PCWorld til at beskytte mange mailservere, ligesom den også understøtter webserverne Apache og Nginx.
»Heartbleed giver hackere mulighed for at lytte med på krypteret kommunikation, stjæle data direkte fra både web-tjenester og brugere og imitere både tjenester og brugere,« skriver sikkerhedsfolkene. Et eksempel kan være, at man kan opsnappe kreditkortinformationer, der bliver transmitteret fra bruger til web-butik via HTTPS
Version2-bloggeren Henrik Kramshøj har skrevet et indlæg om Heartbleed, og han råder i første omgang til, at man får opdateret til seneste version af openSSL med det samme! Når du har gjort det, kan du læse hans indlæg. Det kan blive en større omgang, hvor alle nøgler også skal skiftes, advarer han.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
