Danske myndigheder forbigår historisk stor internettrussel i tavshed

Heartbleed har potentielt blotlagt fortrolige oplysninger om et hav af danske borgere, men alligevel er der ingen officiel udmelding fra myndighedernes side om, hvordan danskerne bør forholde sig. Det vækker undren hos flere eksperter på området.

Brand i medicinalfabrik på Amager: Gå indendøre. Svindel med danskernes betalingskort i Sydamerika: Vær opmærksom på dine kontoudtog. Vi kender alle meddelelserne fra radio og tv om, hvordan vi bør forholde os i den slags situationer.

I skærende kontrast står de officielle udmeldinger, eller rettere mangel på samme, i forhold til den såkaldte Heartbleed-sårbarhed, der har påvirket adskillige servere på internettet, uundgåeligt også i Danmark. Og som i princippet har gjort det muligt for enhver at fiske fortrolige oplysninger ud af serveres hukommelse om brugernavne, passwords, mailindhold og så fremdeles. Nærmest kun fantasien sætter grænser.

Sårbarheden har eksisteret i det udbredte OpenSSL-bibliotek siden 2012, som ellers netop skulle sikre kommunikationen med servere, men reelt har bevirket det modsatte.

Mens Heartbleed har fået folk med forstand på it-sikkerhed verden over helt op at ringe, har der ingen officielle udmeldinger været fra danske myndigheder - såvidt Version2 har kunnet finde frem til - om, hvordan almindelige borgere bør forholde sig i forhold til Heartbleed-sikkerhedshullet. Ligesom der tilsyneladende heller ingen meldinger har været om, hvilke offentlige digitale tjenester der eventuelt har været berørt af sårbarheden - som dermed også vil have berørt de borgere, der har været i kontakt med tjenesterne.

Version2-blogger med forstand på it-sikkerhed Henrik Kramshøj fra Solido Networks var tidligt ude med et blogindlæg om Heartbleed. Og han har efterfølgende slået til lyd for, at folk - over en bred kam - bør skifte deres kodeord, da sandsynligheden taler for, at mange har været i berøring med kompromitterede servere.

Læs også: Opdater OpenSSL - og dit OS nu

Og han undrer sig over, at det er folk som ham, der skal råbe vagt i gevær, mens der ingen officielle udmeldinger har været fra myndigheder:

»Nogen burde være ude og fortælle om det. En af årsagerne til, at de ikke gør det, kan være, de er bange for, at det vil skabe utryghed. Men man kan ikke stikke hovedet i busken altid. Vi skal have det ud så bredt som muligt, det er vi nødt til,« siger Henrik Kramshøj.

Meldingen bakkes op af Ulf Munkedal, direktør i it-konsulentvirksomheden FortConsult. Han peger på, at det kan være uafklaret, hvilken myndighed der har ansvaret for at komme med en generelt udmelding i en situation som den nuværende.

»Jeg undrer mig også over, at der er helt tavst. Jeg går ud fra, det er, fordi man er i gang med at finde ud af, hvad konsekvenserne er, og hvad man kan gøre ved det,« siger han.

Ulf Munkedal påpeger, at hvis tavsheden skyldes, at der mangler en ansvarsplacering for den slags udmeldinger, så skal det naturligvis også løses. Helst så ansvaret ligger hos en af de eksisterende myndigheder.

»Der er nok af dem. Det er ikke, fordi der mangler myndigheder, der arbejder med it-sikkerhed.«

Peter Kruse fra virksomheden CSIS efterlyser også en borgerrettet udmelding fra de danske myndigheder. Og i den forbindelse mener han, der i vores nabolande har været et langt større pressemæssigt fokus på problemstillingen blandt mainstream-medierne, end det foreløbig har været tilfældet i Danmark.

Læs også: Ekspert om omfattende SSL-sårbarhed: Derfor skal du skifte alle dine kodeord

»I Danmark tror jeg ikke, man har forstået, hvad det egentlig går ud på,« siger han.

Og når eksempelvis en myndighed som Digitaliseringsstyrelsen ikke har meldt generelt ud, gætter Peter Kruse på, at det kan skyldes, at de og andre myndigheder i første omgang har haft så travlt med at få afdækket og lukket sårbarheden i egne systemer, at borgerrettede udmeldinger simpelthen er kommet i anden række.

»Det er det offentlige Danmarks forbandede pligt at sørge for at gøre det her læsbart og forståeligt for borgerne og for pressen. Så folk kan forstå, hvad det er,« siger Peter Kruse og henviser til, at den manglende gennemslagskraft i forhold til Heartbleed-sårbarheden hænger sammen med, at den går hånd i hånd med ord som OpenSSL og private nøgler.

Varslingsorganisationen DK-CERT var tidligt ude med en melding omkring Heartbleed-sårbarheden. Men der er tale om en generel, kort meddelelse, der ikke er videre let at afkode for ikke-it-kyndige personer. Siden - i går og i dag - har der været to andre korte meddelelser med informationer, der tidligere har været fremme i udenlandske medier. Heller ikke her er der tale om tekst, der må formodes at give meget mening for den almindelige borger, som ej næppe heller finder frem til skrivelserne.

Version2 har kontaktet DK-CERT telefonisk og via e-mail for en uddybning af virksomhedens rolle i forhold til den slags varslinger. Men organisationen har ikke givet svar.

Læs også: Digitaliseringsstyrelsen: Heartbleed-sårbarhed kan have alvorlige og omfattende konsekvenser

Desuden har Version2 været i kontakt med Center for Cybersikkerhed for at høre, om organisationen har tænkt sig at komme med en officiel udmelding - dette var i går, den 10. april, altså tre dage efter at sårbarheden blev bredt kendt.

Efterfølgende, det vil sige i dag, har Center for Cybersikkerhed offentliggjort en ganske kort meddelelse om sårbarheden på organisationens hjemmeside, der ikke kan siges at være hverken videre informativ eller borgerrettet. Sidst Center for Cybersikkerhed offentliggjorde en nyhed på hjemmesiden var i øvrigt 27. marts.

»Center for Cybersikkerhed har siden 7. april 2014 fulgt situationen tæt og har varslet centerets kunder. De seneste dage er en nyopdaget sårbarhed i krypteringsprotokollen OpenSSL blevet dækket af danske og internationale medier. Center for Cybersikkerhed har siden 7. april 2014 fulgt situationen tæt og har varslet centerets kunder. Centeret har på nuværende tidspunkt viden om et fåtal af forsøg på udnyttelse af sårbarheden, men fortsætter med at følge situationen nøje,« står der på hjemmesiden.

I forhold til borgerrettet kommunikation henviser Center for Cybersikkerheds pressefunktion til Digitaliseringsstyrelsen, myndigheden, hvor blandt andet NemID hører under.

Digitaliseringsstyrelsen har tidligere fortalt til Version2, at situationen bliver taget alvorligt. Styrelsen er dog ikke vendt tilbage på en henvendelse om, hvorvidt der kommer en officiel melding fra myndigheden på et tidspunkt. Eksempelvis i forhold til, hvordan borgere bør forholde sig.

Om Heartbleed

Heartbleed-sårbarheden relaterer sig til det udbredte OpenSSL-bibliotek, der skal skabe en sikker forbindelse til en server. Heartbleed blev offentligt kendt i april i år, men har eksisteret i OpenSSL til produktionsmiljøer siden 2012.

Sårbarheden gør det kort fortalt muligt for vilkårlige besøgende at sende en særlig datapakke til en server, hvorefter serveren returnerer dele af indholdet i sin hukommelse. Det kan i princippet være serverens private nøgler, andre besøgendes brugernavn og kodeord samt indholdet af eksempelvis e-mails, chat-beskeder etc.

Altså et eklatant it-sikkerhedshul, som har fået den anerkendte og nøgterne it-sikkerhedsmand Bruce Schneier til at kalde Heartbleed for katastrofal samt give sårbarheden 11 på en skala fra 1 til 10 målt på, hvad der må formodes at være alvorlighed.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Markus Wüstenberg

Handler det ikke bare om at et par af os nørder med kommunikationsevner opretter et website, hvor der til ikke-nørder står forklaret at det system, der flytter dine kodeord, Dankort-informationer m.m. over internettet havde en uopdaget fejl siden 2012, og at det derfor er en god idé at skifte sit kodeord alle steder man har et?

Men så har vi som nørder selvfølgelig lyst til at forklare hvad et godt kodeord er (osv. ;) ), og så går der måske bike shed problem i den.

Jens Monrad

Folk med Verisure eller Dansikring alarmsystemer, som betejenes via "mine sider" skal i hvert fald skifte password.. "Dansikring Direct har gennemgået Mine Sider login for at forbedre sikkerheden efter Heartbleed buggen. En direkte konsekvens af dette er, at alle vores kunder skal ændre deres password til Mine Sider. Vi beder dig gøre dette inden for de næste 72 timer."

Brian Hansen

De bør ikke opfordre deres kunder til at ændre deres password, de bør bare GØRE det for dem prompte, og derefter informere dem om hvorfor! Hvor mange tror I lige der orker at logge ind og ændre det, eller bare glemmer det? Nu var ingen af mine systemer ramt, men jeg havde da uden at tøve gennemtvunget en ændring af samtlige passwords efter fejlen var blevet rettet.

Jens Monrad

Jeg er ganske enig.. det er heller ikke bare sådan hurtig process at skifte password hos Verisure generelt, man skal have fat i mobil telefon osv. Jeg tror mange ikke orker det, mit håb er at deres 72 timers regel betyder at hvis password ikke er skiftet så udløber det automatisk, men jeg er dog i tvivl.. Udover de private kunder (som jeg selv), hvem mon får mailen i virksomhederne ... =)

Erling Sjørlund

Det giver da ingen større mening at advare befolkningen generelt, før man har en rimelig ide om, at de servere, de kontakter, er blevet sikret?
Som jeg ser det, er det de enkelte udbydere af det ene eller andet via OpenSSL, der skal oplyse deres brugere om at de skal skifte adgangskode.
Vil man selv forsøge at sikre sig, kan man vel bruge http://filippo.io/Heartbleed/ med navnet på de servere, man plejer at lave login på, eller?

Morten Friberg

Vil man selv forsøge at sikre sig, kan man vel bruge http://filippo.io/Heartbleed/ med navnet på de servere, man plejer at lave login på, eller?

Selvom der står fixed/unaffected derinde, så kan serveren vel stadig have været sårbar i en periode. Så for at være på den sikre side bør man nok skifte password uanset hvad.

Jakob Damkjær

http://mobile.bloomberg.com/news/2014-04-11/millions-of-android-devices-...

Millions of smartphones and tablets running Google Inc. (GOOG)’s Android operating system have the Heartbleed software bug, in a sign of how broadly the flaw extends beyond the Internet and into consumer devices.

While Google said in a blog post on April 9 that all versions of Android are immune to the flaw, it added that the “limited exception” was one version dubbed 4.1.1, which was released in 2012.

Så må man bare håbe at den version ikke er den ens dims blev "sunsettet" på... (Yes yes man kan sikkert installere cyanogen version af android men det ser jo ikke ud som det man havde eller er supportet fra producenten = users boned)...

Mikael Ibsen

og der er jo ikke grund til at informere borgerne om andet, så de bliver nervøse - og begynder at tænke selv, og overveje, om det nu også er helt optimalt at lægge alle sine vitale data i det offentliges digitale varetægt - eller at man de facto er tvunget til det, uden andre valgmuligheder.
En tænkende borger er en pest i et samfund, hvor alt bare er helt fint - og forårsager kun unødig ulejlighed hos myndighederne. Så derfor gælder det om ikke at trigge tanker af hos disse negative mennesker, der ikke er klar over, at vi lever i den bedste af alle verdner - og alt er såre godt.

Kjeld Flarup Christensen

Selvom Java har været skældt ud mange gange, så betyder den i det her tilfælde at NemID ikke er ramt.
Det vil sige at login oplysninger ikke er kompromitteret, der er kun risiko for at tilfældige fortrolige oplysninger kan være lækket, men ikke passwords så det er ikke nødvendigt at skifte disse.
Desuden sikrer nøglekortet jo også!

Log ind eller Opret konto for at kommentere