Expert efter Heartbleed: Byt ut alla lösenord

Säkerhetshålet i Openssl skapar mycket extrajobb för alla som driver servrar som utnyttjar Openssl för krypterad uppkoppling. Arbetet är inte slut efter att säkerhetshålet täppts igen med den senaste uppdateringen, det anser Jakob Schlyter som är säkerhetsexpert på Kirei.

– De flesta tror att det räcker att bara patcha sitt system. Efter uppdateringen har man sett till att inte säkerhetshålet kan utnyttjas längre. Men den stora frågan är vad gör man sedan, vilka uppgifter har läckt? Det vi vet är att en angripare kan ha kommit åt användarnamn, lösenord och sessionskakor, säger Jakob Schlyter.

Vi förklarar: Det här behöver du veta om Heartbleed.

Han uppmanar alla att återställa alla användares sessionskakor och alla lösenord i sina system för att vara på den säkra sidan. Dessutom behöver ssl-certifikat och nycklar bytas ut.

– Jag förutsätter att fel sida har haft information om det här ganska länge. Det finns vissa tveksamma säkerhetsforskare som väljer att tjäna pengar på sådan här information i stället för att berätta om den, säger Jakob Schlyter.

Sedan buggen blev allmänt känd har de flesta större sajter täppt igen hålet. Men det tog tid för många att göra det.

– Jag tycker att det är anmärkningsvärt att Yahoo var vidöppet under en lång period igår. Under ett dygn kan man anta att alla som loggade in på Yahoo fick sina uppgifter stulna, säger Leif Nixon som är it-säkerhetsansvarig på Nationellt Superdatorcentrum.

Även till exempel Amazon togs på sängen av buggen. Leif Nixon tror att det fortfarande är många sajter utanför de största där säkerhetshålet inte är tätat och att de alla ligger i farozonen för att bli hackade eftersom det finns verktyg för att skanna nätet efter sårbara sajter.

Ett mindre uppmärksammat problem är att Openssl också används på många mindre uppenbara ställen än webbtjänster.

– Det finns många enheter som inte är datorer som till exempel routrar och brandväggar som är sårbara och som är betydligt krångligare att uppdatera än en vanlig dator, säger Leif Nixon.

Även på den svenska nationella it-incidentfunktionen Cert-se ser man routrar, brandväggar och vpn-burkar som ett potentiellt problem efter Heartbleed-buggen.

– Om du sitter på en sådan här liten tredjepartsburk så är det leverantören som kan uppdatera. Den här tjänsten heartbeat som är sårbar är påslagen som grundinställning när man kompilerar Openssl och vi gissar att de som gör den här typen av mindre burkar ändrar inte det vid kompilering, säger Robert Jonsson som är ställföreträdande chef på Cert-se som sorterar under Myndigheten för samhällsskydd och beredskap.

Han har hittills inte sett att några tillverkare av routrar eller vpn-burkar kommit med några uppdateringar.

– Det här rör sig fort just nu och det är väldigt svårt att säga var det kommer att landa. Men det är allvarligt eftersom ssl är en så viktig och spridd komponent, säger Robert Jonsson.