Hul i OpenSSL: En halv million hjemmesider er sikkerhedsudsat

10. april 2014 kl. 08:082
Hul i OpenSSL: En halv million hjemmesider er sikkerhedsudsat
Illustration: iStockphoto.com.
Sikkerhedsvirksomheden Netcraft advarer nu om, at sider som Twitter, Yahoo og Steam kan være udsat for den såkaldte Heartbleed-bug. Sikkerhedsekspert slår alarm.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den nyopdagede fejl i krypteringsprotokollen OpenSSL har fået alarmklokkerne til at ringe.

Den såkaldte Heartbleed-bug giver mulighed for uvedkommende at overvåge krypteret kommunikation, og nu advarer også den store britiske it-virksomhed Netcraft om sikkerhedshullet.

Ifølge et skriv på deres website vil omkring en halv million ellers troværdige og pålidelige websites og servere være udsat for at få brudt deres krypteringer.

Det drejer sig ifølge Netcraft blandt andet om Twitter, GitHub, Yahoo, Tumblr, Steam, DropBox, HypoVereinsbank, PostFinance, Regents Bank, Commonwealth Bank of Australia, og den anonyme søgemaskine DuckDuckGo.

Artiklen fortsætter efter annoncen

Ifølge Netcraft er det 17 procent af nettets SSL-webservere, der bruger certifikater udstedt af pålidelige myndigheder, der er udsat.

OpenSSL er standardkrypteringen for mange sider og bruges til at beskytte brugernes informationer. Med Heartbleed kan hackere derfor i teorien få adgang til kodeord, al krypteret kommunikation, som private beskeder over Twitter eksempelvis, og endda kreditkortoplysninger.

Den velkendte it-sikkerhedsekspert Bruce Schneier er ifølge sitet businessinsider.com dybt bekymret.

‘På en skala fra 1 til 10, så er det her en ellever,’ skriver han på sin blog om sikkerhedsalvoren.

Artiklen fortsætter efter annoncen

Han spekulerer endvidere på, om der var nogen, der med vilje kunne finde på at placere Heartbleed-buggen, som er opstået i forbindelse med Heartbeat-opdateringen til OpenSSL-versionerne 1.0.1 til 1.0.1f.

Han er dog også åben for, at det er en simpel fejl, der har sneget sig ind.

2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
10. april 2014 kl. 12:35

Robin Seggelmann som er ophavs manden til koden , var igang med det under hans universitets tid, der skrev han det her,

http://duepublico.uni-duisburg-essen.de/servlets/DerivateServlet/Derivate-31696/dissertation.pdf

der i beskriver han heartbeat, og hvorfor man har brug for det til udp. "However, to make the extension as versatile as possible, an arbitrary payload and a random padding is preferred, illustrated in Figure 7.1. "

1
10. april 2014 kl. 12:18

Ja, min hostingvirksomhed er selv ramt. Dog er vi i skrivende stund igang med at patche serverne ;)