Open source-softwaren til kryptering af forbindelser over internettet, OpenSSL, fik en uønsket plads i rampelyset, da det for nylig blev afsløret, at det indeholdt et sikkerhedshul, som potentielt kunne udnyttes til at afsløre kodeord, kreditkortnumre og andre fortrolige oplysninger fra webservere.
Den såkaldte Heartbleed-sårbarhed i OpenSSL satte fokus på en komponent, som ellers blot har arbejdet for store websteder i årevis. Nu er yderligere en række sikkerhedshuller i OpenSSL fundet og lukket.
En af dem er særlig kritisk, fordi den har eksisteret i OpenSSL siden 1998 og dermed findes i alle versioner, bortset fra den nyeste 1.01 og de patchede versioner.
Ifølge sikkerhedsfirmaet Sophos er den dog ikke helt så kritisk som Heartbleed. Heartbleed-sårbarheden kunne udnyttes, hvis blot serveren havde en sårbar version af OpenSSL. Den nye, kritiske sårbarhed kan kun udnyttes, hvis både server og klient er sårbare.
Det vil dog kunne udnyttes ved eksempelvis at opsætte et falsk wifi-opkoblingspunkt, som brugerne lokkes til at forbinde til. Det giver mulighed for at lave et man-in-the-middle-angreb, selvom brugeren tror, han benytter en sikker forbindelse, skriver blandt andet sikkerhedsfirmaet CSIS.
OpenSSL er i øvrigt ikke den eneste krypteringssoftware, som har måttet lukke kritiske sårbarheder. Også GnuTLS har ifølge Sophos været ramt af et kritisk sikkerhedshul.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
