Hvernig bregðast á við Heartbleed gallanum Samúel Karl Óalson skrifar 16. apríl 2014 16:10 Innbrotavörn Nýherja stoppaði í síðustu viku um 1.500 tilfelli af Heartbleed árásum samkvæmt öryggissérfræðingi fyrirtækisins. Guðmundur Arnar Sigmundsson, birti í gær bloggfærslu um Heartbleed gallann þar sem hann útskýrir gallann og bendir á hvernig einstaklingar og fyrirtæki geti brugðist við. Rúm vika er liðin frá því að fréttir bárust af öryggisgalla í opinni útfærslu á TLS/SSL dulkóðunaraðferðinni OpenSSL. Guðmundur segir gallann vera kallaðan Heartbleed vegna þess að hann kemur fram í svokölluðum hjartsláttar skilaboðum sem notuð eru til að halda dulkóðuðum samskiptum lifandi yfir lengri tíma. „Öryggisgallinn sjálfur lýsir sér þannig í einföldu máli að hægt var að „plata“ vefþjónustur til þess að gefa árásaraðila upp hluta þeirra upplýsinga sem lágu í vinnsluminni vefþjóna. Hvað lá í minninu á hverjum tímapunkti var tilviljunum háð en það gat innihaldið lykilorð, notendanöfn, skírteini til að auðkenna þjónustur, skilaboð og tölvupósta. Hvað sem er sem á annað borð fór í gegnum þá,“ skrifar Guðmundur. Hann segir gallann vera mjög hvimleiðar þar sem hann grafi undan trausti almennings á öruggum samskiptum á netinu. „Fólki hefur alltaf verið sagt að ef það er að hlaða viðkvæmum gögnum eða upplýsingum yfir internetið, og þá er sama hvort um er að ræða vefpóst, netbankasamskipti eða gagnageymslur líkt og t.d. Dropbox, að þá geti það treyst því að samskiptin séu örugg og dulkóðuð svo lengi sem þau sjái hið margumtalaða https:// fyrir framan nafn heimasíðunnar. S-ið er lykilatriði því það stendur fyrir „secure“ og segir okkur að um dulkóðuð samskipti sé að ræða. Dulkóðuð samskipti sem að byggja á áðurnefndri TLS/SSL dulkóðunaraðferð.“66 prósent þjónustu á internetinu nýta OpenSSL Hann segir gallann ekki hafa verið villu í sjálfri dulkóðunaraðferðinni heldur í útfærslunni, en um forritunargalla er að ræða. „TLS/SSL er því ennþá ósnortið og fólk getur ennþá treyst því með góðri samvisku,“ skrifar Guðmundur. Þá sé OpenSSL gríðarlega vinsæll ókeypis hugbúnaður frjáls til notkunar fyrir alla og talið sé að 66 prósent allra þjónustu á internetinu nýti hann fyrir örugg samskipti. „Stórir aðilar eins og Google, Amazon, Instagram, Dropbox og margir fleiri hafa allir nýtt sér OpenSSL í sínum þjónustum og lentu því í vandræðum í kjölfar uppgötvunar gallans.“ Guðmundur segir flesta, ef ekki alla, hafa uppfært skírteini sín, sem þýði að einstaklingar þurfi eingöngu að uppfæra lykilorð sín hjá þeim þjónustum sem urðu fyrir áhrifum. Þá vísar hann á lista á síðunni Mashable yfir þær þjónustur þar sem breyta þarf lykilorðum sinum, en Vísir sagði frá þessum lista í síðustu viku. Sé fólk að samnýta sömu lykilorðin fyrir þjónustur sem ekki urðu fyrir áhrifum er þó best að breyta þeim líka.1500 tilfelli af Heartbleed árásum Guðmundur segir að fyrirtæki sem séu í rekstri og reki eigin vefþjóna ættu að ganga úr skugga um að þau séu hvergi að keyra OpenSSL hugbúnað sem sé eldri en útgáfa 1.01g. Hafi fyrri útgáfur verið notaðar undanfarin tvö ár sé engin leið að sjá hvort brotist hafi verið inn á þjóna og skírteinum, lyklum og notendanöfnum verið stolið. „Sé það tilfellið er betra að hafa vaðið fyrir neðan sig og mælum við með því að öll skírteini og lyklar verði endurnýjuð.“ Þá mælir hann með því að forsvarsmenn fyrirtækja íhugi að koma sér upp innbrotsvörn sem fylgist með allir netumferð og leitar eftir þekktum árásarmynstrum. Hann segir Nýherja keyra sína innri vefi á slíkri vörn og þó hún hafi ekki nýst til að verja fyrirtækið áður en Heartbleed uppgötvaðist hafi hún verið uppfærð. „Vissulega er gott að öryggisgallar komi upp á yfirborðið svo hægt sé að uppfæra kerfi og stoppa í holur. En upplýsingarnar nýtast líka þeim sem að stunda svona árásir sem reyna í fleiri tilfellum að nýta sér holurnar. Það sást bersýnilega síðastliðna viku á innbrotavörn Nýherja þar sem hún stoppaði rúmlega 1500 tilfelli af Heartbleed árásum,“ skrifar Guðmundur.Hann nefnir þrjú atriði sem nauðsynlegt sé að framkvæma. Að einstaklingar uppfæri lykilorð hjá þeim þjónustum sem voru að keyra gallaðar útgáfur af OpenSSL, en gangi úr skugga um að viðkomandi þjónustur séu búnar að uppfæra sín kerfi áður. Að fyrirtæki hugi að því að uppfæra allar sínar þjónustur sem keyrðu OpenSSL upp í útgáfu 1.01g og endurnýji skilríki og lyklapör í framhaldi af því. Að fyrirtæki íhugi að koma sér upp innbrotavörn. Mest lesið Ummæli Trumps um „meiriháttar lúser“ leggjast illa í markaðinn Viðskipti erlent Bærinn vildi húsið en þurfti svo að borga tvöfalt meira Viðskipti innlent Notendur þurfi að bregðast við vilji þeir ekki að gögn verði notuð Viðskipti erlent Að komast aftur í vinnugírinn eftir geggjað páskafrí Atvinnulíf Aðalgeir frá Lucinity til Símans Viðskipti innlent Latabæjarnammið vel þekkt um allan heim Viðskipti innlent Spá minni hagvexti um nær allan heim vegna tolla Bandaríkjastjórnar Viðskipti erlent Ætlar að einbeita sér að Tesla eftir slæmt uppgjör Viðskipti erlent Elskar kaffi að ítölskum sið og línulega dagskrá Atvinnulíf Heimsskortur á pistasíum vegna Dúbaí-súkkulaðis Viðskipti erlent Fleiri fréttir Ætlar að einbeita sér að Tesla eftir slæmt uppgjör Spá minni hagvexti um nær allan heim vegna tolla Bandaríkjastjórnar Ummæli Trumps um „meiriháttar lúser“ leggjast illa í markaðinn Notendur þurfi að bregðast við vilji þeir ekki að gögn verði notuð Heimsskortur á pistasíum vegna Dúbaí-súkkulaðis Tímamótasamkomulag um að draga úr losun skipaflotans Hlutabréfaverð í Asíu hækkar Trump hafi „ekki hugmynd“ um hvað hann sé að gera Færri fara til Bandaríkjanna en fækkunin hvað mest frá Íslandi Kínverjar svara fyrir sig og hækka enn tolla á bandarískar vörur Órói á mörkuðum heldur áfram og gullverð aldrei hærra Hækkar tolla á Kína aftur í 145 prósent Prada kaupir Versace á 183 milljarða króna Evrópusambandið frestar tollahækkunum Kauphallir rétta úr kútnum Hækkar tolla á Kína og samþykkir níutíu daga „hlé“ fyrir tugi ríkja Trump boðar „stórfellda“ tolla á lyf en Róbert hefur ekki áhyggjur Trump-tollar tóku gildi í nótt Bjartara yfir við opnun markaða Gefur reikniformúlu tollgjaldanna falleinkunn Leggja til 25 prósent tolla á valdar bandarískar vörur Trump hótar Kínverjum 50 prósenta viðbótartolli Áfram lækkanir við opnun markaða í Evrópu Enn meiri lækkanir í Asíu við opnun markaða Jaguar Land Rover stöðvar sendingar vegna tollahækkana Leiðtogar ESB íhuga háa sekt á X og Musk Verðfall á Wall Street Talaði gegn eigin ráðgjöfum um tollana Lækkanir í Asíu halda áfram Bezos sagður hafa boðið í Tiktok Sjá meira
Innbrotavörn Nýherja stoppaði í síðustu viku um 1.500 tilfelli af Heartbleed árásum samkvæmt öryggissérfræðingi fyrirtækisins. Guðmundur Arnar Sigmundsson, birti í gær bloggfærslu um Heartbleed gallann þar sem hann útskýrir gallann og bendir á hvernig einstaklingar og fyrirtæki geti brugðist við. Rúm vika er liðin frá því að fréttir bárust af öryggisgalla í opinni útfærslu á TLS/SSL dulkóðunaraðferðinni OpenSSL. Guðmundur segir gallann vera kallaðan Heartbleed vegna þess að hann kemur fram í svokölluðum hjartsláttar skilaboðum sem notuð eru til að halda dulkóðuðum samskiptum lifandi yfir lengri tíma. „Öryggisgallinn sjálfur lýsir sér þannig í einföldu máli að hægt var að „plata“ vefþjónustur til þess að gefa árásaraðila upp hluta þeirra upplýsinga sem lágu í vinnsluminni vefþjóna. Hvað lá í minninu á hverjum tímapunkti var tilviljunum háð en það gat innihaldið lykilorð, notendanöfn, skírteini til að auðkenna þjónustur, skilaboð og tölvupósta. Hvað sem er sem á annað borð fór í gegnum þá,“ skrifar Guðmundur. Hann segir gallann vera mjög hvimleiðar þar sem hann grafi undan trausti almennings á öruggum samskiptum á netinu. „Fólki hefur alltaf verið sagt að ef það er að hlaða viðkvæmum gögnum eða upplýsingum yfir internetið, og þá er sama hvort um er að ræða vefpóst, netbankasamskipti eða gagnageymslur líkt og t.d. Dropbox, að þá geti það treyst því að samskiptin séu örugg og dulkóðuð svo lengi sem þau sjái hið margumtalaða https:// fyrir framan nafn heimasíðunnar. S-ið er lykilatriði því það stendur fyrir „secure“ og segir okkur að um dulkóðuð samskipti sé að ræða. Dulkóðuð samskipti sem að byggja á áðurnefndri TLS/SSL dulkóðunaraðferð.“66 prósent þjónustu á internetinu nýta OpenSSL Hann segir gallann ekki hafa verið villu í sjálfri dulkóðunaraðferðinni heldur í útfærslunni, en um forritunargalla er að ræða. „TLS/SSL er því ennþá ósnortið og fólk getur ennþá treyst því með góðri samvisku,“ skrifar Guðmundur. Þá sé OpenSSL gríðarlega vinsæll ókeypis hugbúnaður frjáls til notkunar fyrir alla og talið sé að 66 prósent allra þjónustu á internetinu nýti hann fyrir örugg samskipti. „Stórir aðilar eins og Google, Amazon, Instagram, Dropbox og margir fleiri hafa allir nýtt sér OpenSSL í sínum þjónustum og lentu því í vandræðum í kjölfar uppgötvunar gallans.“ Guðmundur segir flesta, ef ekki alla, hafa uppfært skírteini sín, sem þýði að einstaklingar þurfi eingöngu að uppfæra lykilorð sín hjá þeim þjónustum sem urðu fyrir áhrifum. Þá vísar hann á lista á síðunni Mashable yfir þær þjónustur þar sem breyta þarf lykilorðum sinum, en Vísir sagði frá þessum lista í síðustu viku. Sé fólk að samnýta sömu lykilorðin fyrir þjónustur sem ekki urðu fyrir áhrifum er þó best að breyta þeim líka.1500 tilfelli af Heartbleed árásum Guðmundur segir að fyrirtæki sem séu í rekstri og reki eigin vefþjóna ættu að ganga úr skugga um að þau séu hvergi að keyra OpenSSL hugbúnað sem sé eldri en útgáfa 1.01g. Hafi fyrri útgáfur verið notaðar undanfarin tvö ár sé engin leið að sjá hvort brotist hafi verið inn á þjóna og skírteinum, lyklum og notendanöfnum verið stolið. „Sé það tilfellið er betra að hafa vaðið fyrir neðan sig og mælum við með því að öll skírteini og lyklar verði endurnýjuð.“ Þá mælir hann með því að forsvarsmenn fyrirtækja íhugi að koma sér upp innbrotsvörn sem fylgist með allir netumferð og leitar eftir þekktum árásarmynstrum. Hann segir Nýherja keyra sína innri vefi á slíkri vörn og þó hún hafi ekki nýst til að verja fyrirtækið áður en Heartbleed uppgötvaðist hafi hún verið uppfærð. „Vissulega er gott að öryggisgallar komi upp á yfirborðið svo hægt sé að uppfæra kerfi og stoppa í holur. En upplýsingarnar nýtast líka þeim sem að stunda svona árásir sem reyna í fleiri tilfellum að nýta sér holurnar. Það sást bersýnilega síðastliðna viku á innbrotavörn Nýherja þar sem hún stoppaði rúmlega 1500 tilfelli af Heartbleed árásum,“ skrifar Guðmundur.Hann nefnir þrjú atriði sem nauðsynlegt sé að framkvæma. Að einstaklingar uppfæri lykilorð hjá þeim þjónustum sem voru að keyra gallaðar útgáfur af OpenSSL, en gangi úr skugga um að viðkomandi þjónustur séu búnar að uppfæra sín kerfi áður. Að fyrirtæki hugi að því að uppfæra allar sínar þjónustur sem keyrðu OpenSSL upp í útgáfu 1.01g og endurnýji skilríki og lyklapör í framhaldi af því. Að fyrirtæki íhugi að koma sér upp innbrotavörn.
Mest lesið Ummæli Trumps um „meiriháttar lúser“ leggjast illa í markaðinn Viðskipti erlent Bærinn vildi húsið en þurfti svo að borga tvöfalt meira Viðskipti innlent Notendur þurfi að bregðast við vilji þeir ekki að gögn verði notuð Viðskipti erlent Að komast aftur í vinnugírinn eftir geggjað páskafrí Atvinnulíf Aðalgeir frá Lucinity til Símans Viðskipti innlent Latabæjarnammið vel þekkt um allan heim Viðskipti innlent Spá minni hagvexti um nær allan heim vegna tolla Bandaríkjastjórnar Viðskipti erlent Ætlar að einbeita sér að Tesla eftir slæmt uppgjör Viðskipti erlent Elskar kaffi að ítölskum sið og línulega dagskrá Atvinnulíf Heimsskortur á pistasíum vegna Dúbaí-súkkulaðis Viðskipti erlent Fleiri fréttir Ætlar að einbeita sér að Tesla eftir slæmt uppgjör Spá minni hagvexti um nær allan heim vegna tolla Bandaríkjastjórnar Ummæli Trumps um „meiriháttar lúser“ leggjast illa í markaðinn Notendur þurfi að bregðast við vilji þeir ekki að gögn verði notuð Heimsskortur á pistasíum vegna Dúbaí-súkkulaðis Tímamótasamkomulag um að draga úr losun skipaflotans Hlutabréfaverð í Asíu hækkar Trump hafi „ekki hugmynd“ um hvað hann sé að gera Færri fara til Bandaríkjanna en fækkunin hvað mest frá Íslandi Kínverjar svara fyrir sig og hækka enn tolla á bandarískar vörur Órói á mörkuðum heldur áfram og gullverð aldrei hærra Hækkar tolla á Kína aftur í 145 prósent Prada kaupir Versace á 183 milljarða króna Evrópusambandið frestar tollahækkunum Kauphallir rétta úr kútnum Hækkar tolla á Kína og samþykkir níutíu daga „hlé“ fyrir tugi ríkja Trump boðar „stórfellda“ tolla á lyf en Róbert hefur ekki áhyggjur Trump-tollar tóku gildi í nótt Bjartara yfir við opnun markaða Gefur reikniformúlu tollgjaldanna falleinkunn Leggja til 25 prósent tolla á valdar bandarískar vörur Trump hótar Kínverjum 50 prósenta viðbótartolli Áfram lækkanir við opnun markaða í Evrópu Enn meiri lækkanir í Asíu við opnun markaða Jaguar Land Rover stöðvar sendingar vegna tollahækkana Leiðtogar ESB íhuga háa sekt á X og Musk Verðfall á Wall Street Talaði gegn eigin ráðgjöfum um tollana Lækkanir í Asíu halda áfram Bezos sagður hafa boðið í Tiktok Sjá meira