Vad är Heartbleed?
CVE-2014-0160 som är det officiella namnet är en bugg i Openssl som är en populär uppsättning kryptografisk mjukvara. Openssl används för att skydda webbläsartrafik till och från så många som två tredjedelar av alla servrar på webben. Den används även för att skydda mejlservrar, chattservrar och vpn-tjänster.
Heartbleed-buggen låter en hackare stjäla information som - normalt sett - skyddas av krypteringen ssl/tls. Hålet utnyttjar en funktion kallad heartbeat, som låter webbservrar hålla säkra anslutningar öppna över en längre tid. Genom att utnyttja Heartbleed-buggen kan en hackare tanka hem 64 kilobyte data åt gången från den aktuella serverns minne, och sedan göra det om och om igen tills de data hackaren är ute efter har samlats in. Det kan vara exempelvis användarnamn och lösenord som ligger i den aktuella serverns minne vid angreppet.
Hur upptäcktes buggen?
Heartbleed blev officiellt känd i måndags kväll i samband med att en buggfix som täpper igen hålet. Bakom upptäckten står tre finska säkerhetsforskare på företaget Codenomicon samt en säkerhetsexpert på Google.
Extra prekärt är att säkerhetshålet har funnits i Openssl-koden sedan december 2011 och spreds på webben i samband med Openssl v1.0.1 som släpptes i mars 2012. Hur hålet uppstod är oklart men antagligen skedde det av misstag i samband med att koden uppdaterades. Openssl bygger på öppen källkod.
Hur allvarligt är detta?
Att buggen funnits i två år gör det svårt att bedöma vilken skada som skett - det är helt enkelt inte känt om aktörer med intresse av att komma över känslig information (oavsett om det är stater eller kriminella nätverk) har haft kännedom om hålet innan det täpptes till nu i veckan.
Klart är att en lång, lång rad sajter och tjänster saknat skydd innan buggfixen släpptes. Det handlar om allt från Yahoo, Flickr och Steam till utländska och svenska tidningssajter. Servrar hos Amazon hör till de drabbade, vilket bland annat ledde till att svenska spelsuccén Minecraft plockade ner alla sina servrar för uppdatering under tisdagen. Även Computer Sweden och IDG har tvingats täppa till hålet. Potentiellt handlar det om åtskilliga miljoner känsliga uppgifter som kan ha exponerats.
Däremot verkar varken Google, Facebook eller Wikipedia, för att nämna några, ha varit drabbade.
Vad kan en vanlig användare göra för att skydda sig?
Inte mycket. Men grundläggande är att byta lösenord på de sajter och tjänster där känslig eller personlig information förekommer, oavsett om det är e-post, chattjänster eller inloggningar till tidningssajter eller sociala medier.
Det går också att kontrollera om en viss tjänst har täppt till hålet eller ej på en särskild "Heartbleed checker" som satts upp för ändamålet. Sajter som fortfarande är exponerade bör över huvud taget inte loggas in på.
Vad ska en systemadministratör göra?
Alla serverägare måste omedelbart, helst i förrgår, uppdatera Openssl till version 1.0.1g. Dessutom bör nya ssl-certifikat utfärdas, även om det är krångligt och tar tid. Säkerhetsexperter som Computer Sweden talat med rekommenderar även att dela ut nya lösenord till samtliga användare.
Mer information/källor:
Heartbleed
Internet Storm Center
Tor
Cert-SE
The Guardian
Gigaom
Ars Technica
