Heartbleed: Vi har kun set toppen af isbjerget

De it-sikkerhedsmæssige konsekvenser af Heartbleed involverer også web-services og embeddede enheder som tv og routere. Vi har kun set toppen af isbjerget, og det bliver et mareridt at få lukket alle hullerne, lyder det fra eksperter.

Foreløbigt har vi kun set toppen af isbjerget, når det kommer til konsekvenserne af det store sikkerhedshul i OpenSSL med tilnavnet Heartbleed. Det vurderer flere eksperter.

Blogger på Version2 med forstand på it-sikkerhed Henrik Kramshøj fra Solido Networks peger på, at der i første omgang primært har været fokus gængse web-servere på nettet, som besøgende kan surfe forbi. Men bag dem er der et hav af web-baserede tjenester, der udveksler data mellem hinanden på kryds og tværs - eksempelvis i forhold elektronisk sags- og dokumenthåndtering inden for det offentlige. Og det kan også foregå via SSL, særligt hvis der er er tale om personfølsomme data.

Uden at kunne sætte et eksakt tal på, formoder Henrik Kramshøj at en del af disse er OpenSSL-baserede forbindelser, hvor følsomme informationer bliver udvekslet mellem blandt andet offentlige it-systemer.

»Det vil være sandsynligt, at vi finder flere områder, hvor det vil få indflydelse, og som vi ikke i første omgang troede var sårbare. Nu er vi ved at komme over den første bølge med HTTPS på web-serveren, nu skal vi gennemgå andre steder, hvor der bliver brugt SSL,« siger Henrik Kramshøj

Han påpeger, at også mailservere i den forbindelse kan være ramt af sårbarheden.

»Vi har kun set toppen af isbjerget. Der kommer til at vælte flere skeletter ud af skabet,« siger Henrik Kramshøj og nævner i den forbindelse at også klienter - altså ikke kun servere - kan være sårbare overfor Heartbleed-angrebet.

Og det er ikke nødvendigvis lige til at lukke Heartbleed-hullerne i de eksempelvis XML-baserede webservices, der udveksler informationer på kryds og tværs og er afhængige af hinandens oppetid.

Læs også: Danske myndigheder forbigår historisk stor internettrussel i tavshed

»Hvis der er fejl i de systemer, vil det formentlig tage en uge at rette op på. Der er ikke rigtigt nogen, der har styr på, hvordan det hænger sammen i de store setups (webservices, red.), og så er man bange for det knækker.«

Peter Kruse fra it-sikkerhedsvirksomheden CSIS bruger også udtrykket toppen af isbjerget med henvisning til, at de mere omsiggribende konsekvenser af Heartbleed-sårbarheden har endnu tilgode at vise sig.

»Alle elektroniske sagsbehandlingssystemer, alle systemer, hvor folk bestiller tid hos lægen, tandbehanglinger. Alle sammen er der jo krav til, fordi CPR-nummeret ikke må sendes ukrypteret i backend-systemerne, at man laver SSL-kryptering af de data (og dermed potentielt blotlægger data for uvedkommende, red.),« siger Peter Kruse og fortsætter:

»Der er vildt mange facetter her. Og så er der vildt mange enheder, med embeddede operativsystemer, som har en implementering af OpenSSL, der er sårbar. Det bliver et mareridt at få opdateringer rullet ud.«

Og netop hvad de embeddede enheder angår kan det vise sig som en omfattende opgave at sørge for, de bliver opdaterede. Embeddede enheder kan eksempelvis være tv-apparater, routere, firewalls og så fremdeles. Og nogle af disse apparater vil næppeuden videree kunne opdateres.

»Der vil være masser af enheder, som man ikke ville forvente var sårbare, men hvor der har været et krav om kryptering. Og så har man brugt det mest populære bibliotek til det, og det er nu engang OpenSSL.«

Og der er noget om snakken. Cisco har netop været ude med en melding omhandlende en stribe af virksomhedens produkter i kølvandet på Heartbleed-sårbarheden, ligeså har Synology, der begår sig inden for storage-løsninger været ude med en pressemeddelelse om en opdatering som følge af Heartbleed.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Daniel Udsen

17% af internettet herunder et par store veldrevne sites er ramt, det oversættes ikke til alle systemer allevejne. Når det kommer til embedded så er det ikke engang sikkert ssl er slået til som standard og openSSL er langt fra det eneste ssl bibliotek i brug.

Dybest set taler vi her om nginx, apache plus node.js og diverse andre framework servere, og de fleste af de påvirkede appliances er tættere på en fuld linux/unix server, end et embbedded system. Og her er det kun systemer der har fået opdateret OpenSSL inden for de sidste 2 år.

Java(JSSE), CyaSSL, MatrixSSL, er mindt ligeså almindeligt for embedded devices som openSSL og de er ikke påvirket.

Det største sikkerhedsproblem for embedded er at man ikke patcher og det vat et kritisk problem før heartbleed. Men ok hvis panikken kan få folk til faktisk at opdatere deres systemer så er den vel en god ting.

Kenneth Rasmussen

Synes det er ret komisk at det er så slemt med Openssl. Det er opensource og folkene bag har ikke fået mange donationer, men folk vil godt bruge det og nu hvor der er en fejl så skal der bare hakkes igennem.. Måske vi lige skulle tænke lidt på hvor mange sikkerhedshuller der er i Windows, som har været på banen i en del år, men stadig laver fejl... Ja det er skidt, men openssl er lavet af folk der har brugt deres fritid på det!

Jakob Damkjær

"Ja det er skidt, men openssl er lavet af folk der har brugt deres fritid på det!"

Så derfor er det ok at de laver cataclysmiske sikkerhedshuller ? Det er da forståeligt men aligevel springer champagne propperne nok i Redmond og mons tro der enten kommer nogle bedre reviewed alternativer frem (og brugt mere) eller OpenSSL bliver understøtter med flere penge/ressourcer.

Spørgsmålet er bare om indsatsen for at fikse det her at vil gøre at firmaer og projekter efterfølgende vil søge alternativer... Uanset hvor fint de har håndteret det her sikkerhedshul vil den graverende natur af det her hul resultere i et image tab for OpenSSL...

Flemming Riis

Spørgsmålet er bare om indsatsen for at fikse det her at vil gøre at firmaer og projekter efterfølgende vil søge alternativer

Problemet er vel stadig at 99.9% nasser på open source og et lille fåtal bidrager.

Hvis alle de store firmaet som spare millioner donerede 1% af deres besparelse til de projekter de benytter så er der vel penge til flere øjne og hænder.

Og nogle kunder som benytter openssl kan så vente på at deres vendor får fixet det , så selvom det er opensource er det ikke en instant fix , hvis det er bundlet i andre produkter.

Men prøv lige at få størstedelen af alle iis sites patches på uge hvis noget springer i luften

Jens Monrad

Iflg. CloudFlare, som har haft en udfordring ude om hvor hurtigt man kunne få private keys via en sårbar server, tog (desværre) kun 9 timer. Så én ting er at opgradere OpenSSL, en anden er teorien om ens private keys er eksponeret og i så fald om man skal revoke/reissue.. Læs mere her: http://blog.cloudflare.com/answering-the-critical-question-can-you-get-p...

Kenneth Rasmussen

Jakob Damkjær - nej det er ikke acceptabelt uanset hvem der laver fejl, men dem der bruger det burde gennemgå kildekoden og sige ok for det og ikke bare nasse på opensource som de færreste bidrager til!
Folk glemmer at der ikke er forskel på en programmør og en mekaniker, men man betaler bare ved kasse 1 ved mekanikkeren, men programmøren undlader man fordi der ikke er kasse systemet... Desuden hvis google stod for noget ala openssl så ville de blot overvåge al den private information.. Og så er vi da ikke meget længere?

Thomas Jensen

Jeg tænker, at man fra alle EU websteder skal indføre password krav om, at koden skal være på mindst 12 små bokstaver og tal, der er helt tilfældige, og ikke kan udtales som en kode bestående af adskillege ord.
Men er dette urealistisk?

Mvh,
Thomas

Michael Zedeler

Jeg tænker, at man fra alle EU websteder skal indføre password krav om, at koden skal være på mindst 12 små bokstaver og tal, der er helt tilfældige, og ikke kan udtales som en kode bestående af adskillege ord.

Ja. Det ville være et fint supplement til logningsbekendtgørelsen og cookiedirektivet.

Jakob Damkjær

"Folk glemmer at der ikke er forskel på en programmør og en mekaniker, men man betaler bare ved kasse 1 ved mekanikkeren, men programmøren undlader man fordi der ikke er kasse systemet"

Så open Source er ikke helt så gratis længere ? Var det ikke noget med at vi skulle dele ogalle skulle kunne få fordel af open Source projekterne... Uden det koster onde penge...

Undskyld mig hvis jeg synes det er lidt kosmisk humor når open Source folk klager over at de ikke får støtte...

I andre detaljer kan det nævnes at Mac os X 10.9 ikke længere benytter OpenSSL til fx ssh... Der benytter de OSSLShim.

Failing badly is still failing badly even though you have a Nice scapegoat explanation (vi fik ikke penge for gratis software)...

Log ind eller Opret konto for at kommentere