Nets vurderer, at Heartbleed er gået uden om NemID og dankortet

11. april 2014 kl. 10:309
Dankort-systemet og NemID har ifølge Nets ikke været ramt af den alvorlige Heartbleed-sårbarhed.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Nets har været i fuld gang med at undersøge, hvorvidt virksomhedens systemer, der blandt andet involverer dankort-infrastrukturen - også den til online-betalinger - og ikke mindst NemID, har været berørt af den såkaldte Heartbleed-sårbarhed. Og det lader, heldigvis, ikke til at være tilfældet.

»Vi (Nets) har nu foretaget en sikkerhedsmæssig vurdering af vores systemer både hos os selv og hos vores underleverandører. Vores klare vurdering er, at vi ikke er eksponeret, og vi har heller ikke været det, over for den kendte OpenSSL-sårbarhed,« oplyser pressechef i Nets Søren Winge i en e-mail til Version2.

Han meddeler desuden, at virksomheden ikke påtænker at gå i nærmere detaljer omkring, hvorfor Hearbleed er gået uden om Nets systemer. Hvilket Version2 naturligvis har forsøgt at spørge ind til.

Artiklen fortsætter efter annoncen

Heartbleed-sårbarheden relaterer sig til det udbredte OpenSSL-bibliotek, der skal skabe en sikker forbindelse til en server. Heartbleed blev offentligt kendt i april i år, men har eksisteret i OpenSSL til produktionsmiljøer siden 2012.

Sårbarheden gør det kort fortalt muligt for vilkårlige besøgende at sende en særlig datapakke til en server, hvorefter serveren returnerer dele af indholdet i sin hukommelse. Det kan i princippet være serverens private nøgler, andre besøgendes brugernavn og kodeord samt indholdet af eksempelvis e-mails, chat-beskeder etc.

Altså et eklatant it-sikkerhedshul, som har fået den anerkendte og nøgterne it-sikkerhedsmand Bruce Schneier til at kalde Heartbleed for katastrofal samt give sårbarheden 11 på en skala fra 1 til 10 målt på, hvad der må formodes at være alvorlighed.

Emner
9 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
Kjeld Flarup Christensen
13. april 2014 kl. 11:19

Selvom en sårbar version har været i brug, så er der flere grunde til at NemID næppe er ramt.

Nøglekortet eller det lokale certifikat gør, at det ikke er muligt at udnytte oplysninger man måtte hente ud fra serveren.

Nøgler og andet kritisk information ligger næppe i klar tekst på serveren.

Endelig så er protokollerne proprietære så man kan ikke umiddelbart bruge oplysninger selvom man havde fået nogle ud. For en gangs skyld en fordel med Java.

Der hvor man i stedet kan se en risiko er at det muligvis ville være muligt at dumpe andre brugeres fortrolige oplysninger som netop er sendt til disse. Altså på trafik efter NemID trinnet.

  • more_vert
    • insert_linkKopier link
7
Peter Reinhold
11. april 2014 kl. 11:26

Lad os lige mindes at Nets også vurderede at NemID ville fungere fint med en given Java opdatering.

  • more_vert
    • insert_linkKopier link
1
Peter Makholm
11. april 2014 kl. 10:38

Der er kun to mulige forklaringer. Enten bruger Nets ikke OpenSSL eller også bruger de er version der er for gammel til at inkluderer fejlen.

Det burde nok for en angriber være rimelig nemt at fingerprinte sig til hvilken situation vi er i. Så derfor giver jeg ikke meget for Nets betænkelighed ved at gå i detaljer.

Under alle omstændigheder kan ovenstående dog kun dække over Nets egne systemer. Det kan på ingen måde afvise at ens kort-oplysninger kan være kompromiteret hvis man har betale med kort over nettet.

  • more_vert
    • insert_linkKopier link
4
Peter Mogensen
11. april 2014 kl. 11:04

Der er kun to mulige forklaringer.

Well... de er også den forklaring at de har vurderet at ingen af de steder hvor de faktisk bruger en ramt OpenSSL version er eksponeret imod angrebet eller håndterer nogen data, efterlader et varigt problem for brugerene og ikke kan fikses med en revokering og et nyt certifikat.

Jeg mener: Så vidt jeg har forstået, så kan man få tilfældig RAM indhold fra en server, der svarer på TLS heartbeat. Dvs... hvis jeg bare sætter en HTTPS-server op til at serve statisk indhold er det eneste, der reelt kan leake den private nøgle til serveren. (så andre kan udgive sig for at være min server). Det burde en revokering af certifikatet og et nyt løse. Bruger folk den derimod til at håndtere følsomt indhold. F.eks. sende HTTP Basic auth eller lader HTTP-server processen pille direkte i hemmelig data, så er der mere for en angriber at hente og så skal man ulejlige brugerne med at skifte password osv.

Måske har Nets bare vurderet at der ikke har været følsom data, der kunne leakes som følge af det.

  • more_vert
    • insert_linkKopier link
6
Morten Hansen
11. april 2014 kl. 11:08

Eller også er det en multi-tier løsning hvor sårbare enheder ikke har haft åben adgang til offentligheden som du hinter lidt henad, altså Bruger <-> Første-Server (ikke sårbar) <-> 2nd tier (sårbar) <-> database eller whatever

  • more_vert
    • insert_linkKopier link
3
Morten Hansen
11. april 2014 kl. 10:56

Du glemmer den tredje mulighed: at heartbeat er slået fra på den version de bruger. Da det er en ligegyldig, ubrugt funktion i OpenSSL librariet så er det ekstremt overraskende at den er sat til by default og der bør være nogen med ekstremt røde ører der har truffet det valgt. Se evt: http://stackoverflow.com/questions/22992149/what-are-ssl-heartbeats

  • more_vert
    • insert_linkKopier link
5
Peter Makholm
11. april 2014 kl. 11:08

Nets kan naturligvis ikke give nogen garantier for andres system opsætning. Ej, heller er det rimeligt at forlange de skal.

Jeg er enig i at Nets kun har et begrænset ansvar for andres systemer. Jeg mener dog at Nets som operatør for Dankortet er ansvarlig for ikke at give misvisende information om Dankort systemet som sådan og hvis Nets melder ud at Dankort-systemet som sådan ikek er i fare, så mener jeg lidt at deres udmelding let kan opfattes som misvisende.

Du glemmer den tredje mulighed: at heartbeat er slået fra på den version de bruger.

Det er korrekt, men jeg tror ikke på det. Den er lige så sandsynlig som den fjerde mulighed at Nets var bekendt med fejlen og selv har rettet fejlen uden at fortælle andre om det.

  • more_vert
    • insert_linkKopier link
2
Helge Svendsen
11. april 2014 kl. 10:51

De Citrix netscalere, som Nets bruger, i hvert fald til oces2, ser ud til at bruge OpenSSL 0.9.x.

Nets kan naturligvis ikke give nogen garantier for andres system opsætning. Ej, heller er det rimeligt at forlange de skal. Så ja, dine kortoplysninger kan være kompromiterede, hvis du har handlet på nettet.

http://support.citrix.com/article/CTX140605

  • more_vert
    • insert_linkKopier link