Heartbleed giver falske hjemmesider og langsommere internet

Måske er det ikke nok at have skiftet sine kodeord oven på Heartbleed. Hackere kan nemlig lave falske hjemmesider, der ligner dem, du plejer at besøge.

Selvom den værste password-paranoia måske er ved at lægge sig oven på opdagelsen af sikkerhedshullet Heartbleed, så er problemerne langtfra overstået. Faktisk kan det se ud, som om de først lige er begyndt.

Ifølge The Washington Post kan hackere nemlig udnytte sårbarheden i OpenSSL til at stjæle et websteds sikkerhedscertifikater. Dermed kan de skabe falske hjemmesider, der efterligner legitime steder – eksempelvis din mail-klient. Og hvis det sker, så hjælper det ikke meget at udskifte sine kodeord.

»Forestil dig, at vi fandt ud af, at alle de døre, som alle bruger, er usikre. De kan brydes ned. Det er kun de kriminelles fantasi, der sætter grænser for, hvad man kan bruge dette her til,« udtaler Jason Healey, der er sikkerhedsekspert i den amerikanske tænketank Atlantic Council.

Læs også: USA’s myndigheder advarer befolkningen om Heartbleed-sårbarhed

Nettet bliver langsommere

Selvom Heartbleed har gjort internetbrugernes kodeord usikre i to år, før det blev opdaget, så er der heldigvis ikke offentliggjort nogen eksempler på, at sårbarheden er blevet udnyttet. Alligevel står de omkring 500.000 påvirkede websites foran et gigantisk oprydningsarbejde.

Der skal nemlig annulleres sikkerhedscertifikater - og udstedes nye. Og det er en proces, der på godt dansk kan gøre internettet langsommere.

Når man besøger en sikker hjemmeside, tjekker din browser sidens sikkerhedscertifikater og holder dem op imod en liste af annullerede ditto. Den liste downloades normalt til computeren, men da siderne sjældent udskifter certifikater, er listerne som regel korte.

Det ændrer sig nu, da siderne skal skifte alle certifikaterne ud.

»Hvis en certifikat-myndighed skal annullere 10.000 certifikater, så vil listen have 10.000 certifikater på den. Og hvis browsere skal downloade det, så taler vi om flere hundrede megabyte,« udtaler sikkerhedseksperten Paul Mutton fra Netcraft.

Populære sider som Facebook, Netflix og Dropbox er alle i gang med at udskifte sikkerhedscertifikater som følge af Heartbleed.

Læs også: NSA benægter årelangt misbrug af Heartbleed-hul

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Nielsen

Apps, herunder de mange Facebook-apps (https://www.facebook.com/settings?tab=applications) har all adgang til ens data via tokens. Disse bliver ikke ændret ved, at man ændre sin adgangskode.

Det er sjældent at ens adgangskode bliver udvekslet, derimod bliver tokens konstant udvekslet. Derfor er der større odds for at onde personer har opsnappet ens tokens samt appens tokens. Men disse tokens er ikke blevet udskiftet og jeg tror faktisk ikke, at særligt mange systemer er designet til at udskifte dem.

Log ind eller Opret konto for at kommentere