Heartbleed giver falske hjemmesider og langsommere internet

16. april 2014 kl. 10:091
Måske er det ikke nok at have skiftet sine kodeord oven på Heartbleed. Hackere kan nemlig lave falske hjemmesider, der ligner dem, du plejer at besøge.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Selvom den værste password-paranoia måske er ved at lægge sig oven på opdagelsen af sikkerhedshullet Heartbleed, så er problemerne langtfra overstået. Faktisk kan det se ud, som om de først lige er begyndt.

Ifølge The Washington Post kan hackere nemlig udnytte sårbarheden i OpenSSL til at stjæle et websteds sikkerhedscertifikater. Dermed kan de skabe falske hjemmesider, der efterligner legitime steder – eksempelvis din mail-klient. Og hvis det sker, så hjælper det ikke meget at udskifte sine kodeord.

»Forestil dig, at vi fandt ud af, at alle de døre, som alle bruger, er usikre. De kan brydes ned. Det er kun de kriminelles fantasi, der sætter grænser for, hvad man kan bruge dette her til,« udtaler Jason Healey, der er sikkerhedsekspert i den amerikanske tænketank Atlantic Council.

Nettet bliver langsommere

Selvom Heartbleed har gjort internetbrugernes kodeord usikre i to år, før det blev opdaget, så er der heldigvis ikke offentliggjort nogen eksempler på, at sårbarheden er blevet udnyttet. Alligevel står de omkring 500.000 påvirkede websites foran et gigantisk oprydningsarbejde.

Artiklen fortsætter efter annoncen

Der skal nemlig annulleres sikkerhedscertifikater - og udstedes nye. Og det er en proces, der på godt dansk kan gøre internettet langsommere.

Når man besøger en sikker hjemmeside, tjekker din browser sidens sikkerhedscertifikater og holder dem op imod en liste af annullerede ditto. Den liste downloades normalt til computeren, men da siderne sjældent udskifter certifikater, er listerne som regel korte.

Det ændrer sig nu, da siderne skal skifte alle certifikaterne ud.

»Hvis en certifikat-myndighed skal annullere 10.000 certifikater, så vil listen have 10.000 certifikater på den. Og hvis browsere skal downloade det, så taler vi om flere hundrede megabyte,« udtaler sikkerhedseksperten Paul Mutton fra Netcraft.

Artiklen fortsætter efter annoncen

Populære sider som Facebook, Netflix og Dropbox er alle i gang med at udskifte sikkerhedscertifikater som følge af Heartbleed.

1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
16. april 2014 kl. 23:32

Apps, herunder de mange Facebook-apps (https://www.facebook.com/settings?tab=applications) har all adgang til ens data via tokens. Disse bliver ikke ændret ved, at man ændre sin adgangskode.

Det er sjældent at ens adgangskode bliver udvekslet, derimod bliver tokens konstant udvekslet. Derfor er der større odds for at onde personer har opsnappet ens tokens samt appens tokens. Men disse tokens er ikke blevet udskiftet og jeg tror faktisk ikke, at særligt mange systemer er designet til at udskifte dem.