OpenSSL standarden er "åpen" for hackere

Nå er det blitt kjent at OpenSSL standarden som brukes av 2/3-deler av alle nettsteder som har et sikkerhetssertifikat (SSL-sertifikat) har hatt et kjent sikkerhetshull i 2 år.

Sikkerhetshullet gjør at alle hackere som kjenner sårbarheten kan lese minnet til alle datamaskiner som er beskyttet av OpenSSL standarden (gjelder både SSL- og TLS-protokollen).

Sårbarheten gjør at alle kan få tilgang til de hemmelige nøklene som brukes til både å identifisere tjenesteleverandører og til å kryptere trafikken. Dette gjør angripere kan avlytte alle data som sendes mellom tjenester og brukere. I tillegg til at den skal være relativt enkel å utnytte, skal det ikke være mulig å oppdage om noen har utnyttet den.

Benytter jeg «OpenSSL»?

Er du usikker på om ditt nettsted eller e-posttjeneste benytter OpenSSL for å kryptere brukernavn, passord og annen sensitiv informasjon som distribueres over Internett? I så fall er du ikke alene.

For å sjekke om du benytter et SSL-sertifikat på dine nettsider kan du gå til nettsiden du lurer på. Sjekk URL-en til siden. Hvis adressen starter med https:// og ikke bare http://. så benytter siden et SSL-sertifikat.

Les også:

Den vanligste SSL-standarden er idag open-source plattformen OpenSSL som benyttes av over 2/3-del av alle SSL-brukere i verden. Benytter du SSL er det dermed store sjanser for at siden er beskyttet av OpenSSL standarden.

OpenSSL følger med mange Linux- og BSD-distribusjoner. Biblioteket benyttes av utbredte webservere som nginx og Apache HTTP Server, men også av en rekke e-postservere, lynmeldingstjenester, VPS-nettverk, rutere og annet nettverksutstyr, samt mye klientprogramvare.

Går under kodenavnet «Heartbleed»

Sårbarheten (CVE-2014-0160) går under navnet «Heartbleed», og finnes i heartbeat-utvidelsen av OpenSSL. Den ble innført i versjon 1.0.1 som ble utgitt i mars 2012, men også betautgaven av 1.0.2 skal være sårbar. Sårbarheten skal altså ha eksistert i mer enn to år.

OpenSSL har laget en sikkerhetsoppdatering

OpenSSL-prosjektet har kommet med sikkerhetsoppdateringer til begge versjoner, men så langt er det bare de Linux baserte operativsystemene Red Hat og Ubuntu som har kommet med sikkerhetsoppdateringer til sine brukere av OpenSSL standarden.

Dette er sikkerhetsoppdateringer som må installeres på servernivå. Benytter du en shared server, f.eks. et webhotell hos en hosting leverandør, må hosting leverandøren oppdatere sine servere med denne sikkerhetsoppdateringen.

Krever at alle skaffer seg nye SSL-sertifikat

Fordi sikkerhetsnøklene kan ha blitt kompromittert, er det ikke tilstrekkelig å installere oppdateringen. Samtlige nøkler må kalles tilbake og erstattes med nye nøkler. Dette må gjøres av leverandørene av tjenestene (det vil si din SSL-leverandør).

Kort om IKTnytt.noTips ossSøk i offentlige registre

Kort om IKTnytt.no

IKTnytt.no

Ansvarlig redaktør:
Kjetil Sander

E-post:
redaksjonen@iktnytt.no

Facebook:
http://facebook.com/iktnytt/

IKTnytt.no er en nettavis for utviklere, markedsførere og ledere som ønsker å holde seg oppdatert om hva som skjer i IKT-verden - innenlands og utenlands.

Målgruppen er ikke privatpersoner som er interessert i forbruker-elektronikk, men profesjonelle brukere som er involvert i utviklingen, drift og markedsføringen av eget nettsted og mobile applikasjoner.

IKTnytt.no er utviklet og drives på hobbybasis av ansvarlig redaktør Kjetil Sander, som også står bak våre søsterportaler:

- Kunnskapssenteret.com - Aksjemarkedet.com

IKTnytt.no er også kundeavis for webbyrådet og hosting-selskapet OnNet AS som Kjetil er daglig leder i.

Tips oss om en nyhet!

For å sørge for at vi har de nyeste og beste IKT nyhetene trenger vi hjelp fra våre lesere.

Vi inviterer derfor nå alle våre lesere til å tipse oss om nyheter - små og store - fra nært og fjernt. Fortell oss gjerne om hva som skjer i din bedrift, hvilke problemer og utfordringer dere møter, og hvordan dere tenker å løse dem.