Heartbleed: Vi har kun set toppen af isbjerget

11. april 2014 kl. 15:2513
De it-sikkerhedsmæssige konsekvenser af Heartbleed involverer også web-services og embeddede enheder som tv og routere. Vi har kun set toppen af isbjerget, og det bliver et mareridt at få lukket alle hullerne, lyder det fra eksperter.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Foreløbigt har vi kun set toppen af isbjerget, når det kommer til konsekvenserne af det store sikkerhedshul i OpenSSL med tilnavnet Heartbleed. Det vurderer flere eksperter.

Blogger på Version2 med forstand på it-sikkerhed Henrik Kramshøj fra Solido Networks peger på, at der i første omgang primært har været fokus gængse web-servere på nettet, som besøgende kan surfe forbi. Men bag dem er der et hav af web-baserede tjenester, der udveksler data mellem hinanden på kryds og tværs - eksempelvis i forhold elektronisk sags- og dokumenthåndtering inden for det offentlige. Og det kan også foregå via SSL, særligt hvis der er er tale om personfølsomme data.

Uden at kunne sætte et eksakt tal på, formoder Henrik Kramshøj at en del af disse er OpenSSL-baserede forbindelser, hvor følsomme informationer bliver udvekslet mellem blandt andet offentlige it-systemer.

»Det vil være sandsynligt, at vi finder flere områder, hvor det vil få indflydelse, og som vi ikke i første omgang troede var sårbare. Nu er vi ved at komme over den første bølge med HTTPS på web-serveren, nu skal vi gennemgå andre steder, hvor der bliver brugt SSL,« siger Henrik Kramshøj

Artiklen fortsætter efter annoncen

Han påpeger, at også mailservere i den forbindelse kan være ramt af sårbarheden.

»Vi har kun set toppen af isbjerget. Der kommer til at vælte flere skeletter ud af skabet,« siger Henrik Kramshøj og nævner i den forbindelse at også klienter - altså ikke kun servere - kan være sårbare overfor Heartbleed-angrebet.

Og det er ikke nødvendigvis lige til at lukke Heartbleed-hullerne i de eksempelvis XML-baserede webservices, der udveksler informationer på kryds og tværs og er afhængige af hinandens oppetid.

»Hvis der er fejl i de systemer, vil det formentlig tage en uge at rette op på. Der er ikke rigtigt nogen, der har styr på, hvordan det hænger sammen i de store setups (webservices, red.), og så er man bange for det knækker.«

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Peter Kruse fra it-sikkerhedsvirksomheden CSIS bruger også udtrykket toppen af isbjerget med henvisning til, at de mere omsiggribende konsekvenser af Heartbleed-sårbarheden har endnu tilgode at vise sig.

»Alle elektroniske sagsbehandlingssystemer, alle systemer, hvor folk bestiller tid hos lægen, tandbehanglinger. Alle sammen er der jo krav til, fordi CPR-nummeret ikke må sendes ukrypteret i backend-systemerne, at man laver SSL-kryptering af de data (og dermed potentielt blotlægger data for uvedkommende, red.),« siger Peter Kruse og fortsætter:

»Der er vildt mange facetter her. Og så er der vildt mange enheder, med embeddede operativsystemer, som har en implementering af OpenSSL, der er sårbar. Det bliver et mareridt at få opdateringer rullet ud.«

Og netop hvad de embeddede enheder angår kan det vise sig som en omfattende opgave at sørge for, de bliver opdaterede. Embeddede enheder kan eksempelvis være tv-apparater, routere, firewalls og så fremdeles. Og nogle af disse apparater vil næppeuden videree kunne opdateres.

»Der vil være masser af enheder, som man ikke ville forvente var sårbare, men hvor der har været et krav om kryptering. Og så har man brugt det mest populære bibliotek til det, og det er nu engang OpenSSL.«

Og der er noget om snakken. Cisco har netop været ude med en melding omhandlende en stribe af virksomhedens produkter i kølvandet på Heartbleed-sårbarheden, ligeså har Synology, der begår sig inden for storage-løsninger været ude med en pressemeddelelse om en opdatering som følge af Heartbleed.

Emner
13 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
12
Lars Tørnes Hansen
14. april 2014 kl. 14:46

På et website jeg kender var softwaren der håndterer SPDY protokollen statisk lænket med en version af OpenSSL der havde Heartbleed fejlen.

  • more_vert
    • insert_linkKopier link
8
Thomas Jensen
13. april 2014 kl. 12:50

Jeg tænker, at man fra alle EU websteder skal indføre password krav om, at koden skal være på mindst 12 små bokstaver og tal, der er helt tilfældige, og ikke kan udtales som en kode bestående af adskillege ord. Men er dette urealistisk?

Mvh, Thomas

  • more_vert
    • insert_linkKopier link
9
Michael Zedeler
13. april 2014 kl. 20:58

Jeg tænker, at man fra alle EU websteder skal indføre password krav om, at koden skal være på mindst 12 små bokstaver og tal, der er helt tilfældige, og ikke kan udtales som en kode bestående af adskillege ord.

Ja. Det ville være et fint supplement til logningsbekendtgørelsen og cookiedirektivet.

  • more_vert
    • insert_linkKopier link
7
Kenneth Schack Banner
13. april 2014 kl. 11:25

Jakob Damkjær - nej det er ikke acceptabelt uanset hvem der laver fejl, men dem der bruger det burde gennemgå kildekoden og sige ok for det og ikke bare nasse på opensource som de færreste bidrager til! Folk glemmer at der ikke er forskel på en programmør og en mekaniker, men man betaler bare ved kasse 1 ved mekanikkeren, men programmøren undlader man fordi der ikke er kasse systemet... Desuden hvis google stod for noget ala openssl så ville de blot overvåge al den private information.. Og så er vi da ikke meget længere?

  • more_vert
    • insert_linkKopier link
10
Jakob Damkjær
14. april 2014 kl. 10:29

"Folk glemmer at der ikke er forskel på en programmør og en mekaniker, men man betaler bare ved kasse 1 ved mekanikkeren, men programmøren undlader man fordi der ikke er kasse systemet"

Så open Source er ikke helt så gratis længere ? Var det ikke noget med at vi skulle dele ogalle skulle kunne få fordel af open Source projekterne... Uden det koster onde penge...

Undskyld mig hvis jeg synes det er lidt kosmisk humor når open Source folk klager over at de ikke får støtte...

I andre detaljer kan det nævnes at Mac os X 10.9 ikke længere benytter OpenSSL til fx ssh... Der benytter de OSSLShim.

Failing badly is still failing badly even though you have a Nice scapegoat explanation (vi fik ikke penge for gratis software)...

  • more_vert
    • insert_linkKopier link
6
John Vedsegaard
12. april 2014 kl. 16:21

De kan bare oplyse hvilke andre sikkerhedshuller der findes og hvordan de kan udnyttes. Så hullerne kan lukkes.

  • more_vert
    • insert_linkKopier link
2
Kenneth Schack Banner
11. april 2014 kl. 18:34

Synes det er ret komisk at det er så slemt med Openssl. Det er opensource og folkene bag har ikke fået mange donationer, men folk vil godt bruge det og nu hvor der er en fejl så skal der bare hakkes igennem.. Måske vi lige skulle tænke lidt på hvor mange sikkerhedshuller der er i Windows, som har været på banen i en del år, men stadig laver fejl... Ja det er skidt, men openssl er lavet af folk der har brugt deres fritid på det!

  • more_vert
    • insert_linkKopier link
3
Jakob Damkjær
12. april 2014 kl. 09:29

"Ja det er skidt, men openssl er lavet af folk der har brugt deres fritid på det!"

Så derfor er det ok at de laver cataclysmiske sikkerhedshuller ? Det er da forståeligt men aligevel springer champagne propperne nok i Redmond og mons tro der enten kommer nogle bedre reviewed alternativer frem (og brugt mere) eller OpenSSL bliver understøtter med flere penge/ressourcer.

Spørgsmålet er bare om indsatsen for at fikse det her at vil gøre at firmaer og projekter efterfølgende vil søge alternativer... Uanset hvor fint de har håndteret det her sikkerhedshul vil den graverende natur af det her hul resultere i et image tab for OpenSSL...

  • more_vert
    • insert_linkKopier link
4
Flemming Riis
12. april 2014 kl. 10:36

Spørgsmålet er bare om indsatsen for at fikse det her at vil gøre at firmaer og projekter efterfølgende vil søge alternativer

Problemet er vel stadig at 99.9% nasser på open source og et lille fåtal bidrager.

Hvis alle de store firmaet som spare millioner donerede 1% af deres besparelse til de projekter de benytter så er der vel penge til flere øjne og hænder.

Og nogle kunder som benytter openssl kan så vente på at deres vendor får fixet det , så selvom det er opensource er det ikke en instant fix , hvis det er bundlet i andre produkter.

Men prøv lige at få størstedelen af alle iis sites patches på uge hvis noget springer i luften

  • more_vert
    • insert_linkKopier link
1
Daniel Udsen
11. april 2014 kl. 15:53

17% af internettet herunder et par store veldrevne sites er ramt, det oversættes ikke til alle systemer allevejne. Når det kommer til embedded så er det ikke engang sikkert ssl er slået til som standard og openSSL er langt fra det eneste ssl bibliotek i brug.

Dybest set taler vi her om nginx, apache plus node.js og diverse andre framework servere, og de fleste af de påvirkede appliances er tættere på en fuld linux/unix server, end et embbedded system. Og her er det kun systemer der har fået opdateret OpenSSL inden for de sidste 2 år.

Java(JSSE), CyaSSL, MatrixSSL, er mindt ligeså almindeligt for embedded devices som openSSL og de er ikke påvirket.

Det største sikkerhedsproblem for embedded er at man ikke patcher og det vat et kritisk problem før heartbleed. Men ok hvis panikken kan få folk til faktisk at opdatere deres systemer så er den vel en god ting.

  • more_vert
    • insert_linkKopier link