To udbredte hjemmesider til kommunikation mellem patienter og praktiserende læger laegevejen.dk og emarpatientportal.dk er sårbare over for et såkaldt poodle-angreb. Men ikke nok med det - sikkerhedshullet har været kendt i næste et år. Det vil sige, at det har været muligt at lukke det for længst med få klik i den helt overordnede opsætning af de enkelte hjemmesider.
Dermed er kommunikationen med patientportalerne ikke nødvendigvis sikker, selvom den karakteristiske grønne https-hængelås vises i adressefelten, og elementære oplysninger som den uvidende patients brugernavn (CPR-nummer) og kodeord kan stjæles.
»Man kan undre sig over det signal, man sender, når man som indehaver af et site med følsomme data bevidst vælger ikke at lukke et hul som dette,« siger it-sikkerhedsekspert hos Dubex Jacob Herbst, der vurderer, at det vil tage fem minutter at lukke hullet, hvis man ved hvordan.
Puddel-angrebet
Poodle-svagheden blev gjort offentligt kendt i oktober sidste år, efter at den blev fundet af tre sikkerhedseksperter hos Google. Dengang beskrev de tre sikkerhedsfolk, hvordan man som man-in-the-middle kunne omgås https-kryptering på en ellers sikker side. Og dermed snage i kommunikationen mellem siden og personen, der tilgår den.
Svagheden udnytter muligheden for at nedgradere fra nyere versioner af protokollen TLS. Først til ældre versioner af TLS, men siden til den ældre protokoltype SSL 3.0. Nedgraderingen sker automatisk ved kommunikationsfejl, som fremprovokeres af fejl i netværket eller af en eventuel angriber.
»SSL 3.0 bruger RC4, som er kendt for at have flere sikkerhedsfejl (…) Det vil sige, at der ikke er en eneste sikker RC4-algoritme i SSL 3.0, hvorfor man bør undgå den (SSL 3.0-protokollen, red.) helt,« skriver teamet bag afsløringen.
Den type angreb kan dog kun gennemføres, hvis angriberen har kontrol over den internetforbindelse, offeret bruger. For eksempel ved opkobling til et privat hotspot kamufleret som et sikkert, offentligt netværk.
Man kan undgå svagheden ved at deaktivere SSL 3.0-kompatibiliteten for sitet.
Helt bevidste om svaghed
Tom Sørensen er direktør for firmaet Novax A/S, der driver laegevejen.dk. Ifølge ham deaktiverede man for noget tid siden muligheden for at tilgå siden, når ens forbindelse benyttede en SSL 3.0-protokol.
»Det affødte en læserstorm af folk med ældre Windows-versioner, der ikke kunne tilgå vores site,« siger Tom Sørensen, der erkender, at man hos Novax har kendt til svagheden, men ikke ved hvor længe. På grund af læserstormen valgte man derfor at aktivere kompatibiliteten igen og prioriterede dermed adgangen for få over sikkerheden for alle af sitets brugere.
Også hos emarpatientjournal.dk har man kendt til svagheden i et stykke tid.
»Vi vurderer altid sikkerhedsrisikoen og har endnu ikke hørt om et tilfælde, hvor poodle-svagheden er blevet udnyttet,« siger direktør for firmaet EG A/S som driver emarpatientportal.dk, Jesper Andersen, der indrømmer, at hullet burde være blevet lukket før.
»Vi skal lukke et hul som det her. Det er der slet ingen tvivl om,« siger Jesper Andersen, der påpeger, at man hos EG A/S fortsat bruger mange ressourcer på at sikre deres websites.
Ifølge Jesper Andersen tog det halvanden time at lukke hullet, efter at Version2 konfronterede EG A/S med svagheden på sitet.
Først fra den 1 oktober vil laegevejen.dk igen slå SSL 3.0-kompatibiliteten fra.
»Vi har informeret vores brugere om, at det fra oktober ikke vil være muligt at tilgå laegevejen.dk med ældre softwareversioner og operativsystemer,« siger Tom Sørensen, der også siger, at man hos Novax A/S fremover ikke agter at udvise den samme tålmodighed, når det gælder kompatibilitet med gammel software.