Heartbleed: Vad händer nu?

Den senaste veckan har varit en tuff vecka för många it-avdelningar och säkerhetsansvariga. Vad som sägs vara en av de största buggarna på internet någonsin kom ut och blev allmänt känt. Det finns nog inte många som inte har hört namnet Heartbleed någon gång under de senaste dagarna.

Så vad kan det möjligen finnas att skriva om något som redan har tagits upp i hundratals, kanske tusentals artiklar, länkar, videosnuttar, bloggar, statusuppdateringar och mejllistor? Ja, säg det. För mig handlar det mycket om vem man ska lyssna på när förhållandet mellan brus och signal blir så ojämnt?

Ena dagen ska alla byta samtliga lösenord överallt och stänga av det som går och stänga av. Andra dagen så är det ingen idé att byta lösenord eftersom servrarna inte har uppdaterats ännu och därför fortfarande är öppna för avlyssning.

Det stora problemet är att man inte vet omfattningen innan buggen släpptes.

Så vad kan vara lämpligt att göra?
För de allra flesta normalanvändare av tjänster på internet med Microsoft Windows och MacOSX i sin dator så är det inte mycket man kan göra.

Det är den som erbjuder de produkter och tjänster du använder som måste agera. Du ska kunna förvänta dig att den tjänsteleverantör som har berörts av buggen informerar dig och ger dig råd om hur du ska agera som användare. När de väl har uppdaterat sina system kommer de förmodligen att tvinga fram lösenordsbyten hos sina användare nästa gång de loggar in. Som användare kan du ta tillfället i akt att se till att de nya lösenord du väljer håller hög kvalitet och att du inte återanvänder lösenord på flera olika tjänster.

Det finns ett stort antal publika tjänster som har omfattats av sårbarheten under en lång tid och för dessa är det särskilt angeläget att byta. Till dessa hör bland annat:

Google/Gmail
Tumblr
Twitter
Yahoo/Yahoo mail
Amazon
Dropbox
LastPass

Hur kan jag ta reda på mer?
Till att börja med kan den som vill försöka testa om en tjänst är sårbar för buggen göra det på SLLabs.

Om du vill försöka förstå vad det är som händer, och hur Heartbleed fungerar så finns följande beskrivning: "How to explain Heartbleed to your mum". Det är förvisso en bra förklaring, men din mamma får nog vara ganska teknik-savvy om hon ska förstå det där.

Om du har lättare att följa en video så finns det en sådan här.

Det otäcka och kanske lite sorgliga med den här buggen är att det är så ofantligt många som använder OpenSSL, Det är för transportskyddet vad Bind är för DNS. Totalt dominerande. Vi har alltså gjort misstaget att lägga alla ägg i samma korg. Väldigt många säkerhetssystem, brandväggar, antivirusskydd, olika typer av gatewaylösningar med mera bygger på någon version av Unix/Linux och använder https i hanteringen och av dessa använder en hel del OpenSSL. För att inte nämnda de tjänster som flyttat ut i molnet och som med stor sannolikhet också använder https och OpenSSL.

Vad händer nu?
Alla seriösa leverantörer jobbar hårt på att uppdatera sina servrar för att få bort sårbarheten ur sina system. Det är ett tekniskt fel, och det kommer att lösas av tekniker. Det är inte Dooms Day för Internet– nu heller! Det är business as usual. Dåliga saker händer. Då har du en process för det. Täpp till. Uppdatera. Byt ut. Starta om. Vad det än är som behöver täppas till, uppdateras, bytas ut eller startas om. Se till att de som jobbar på it-avdelningen känner till att processen finns, det skadar inte heller.

Samtidigt är detta ett bra test på hur alerta leverantörerna är. Hör de av sig eller inte? SANS Technology Institute har lagt upp en lista över leverantörer som faktiskt har meddelat sina kunder. Dubbelkolla gärna – det finns de leverantörer som påstår sig ha fixat problemet innan det ens fanns några uppdateringar…

Var extra uppmärksamma på e-postmeddelanden med uppmaningar att byta lösenord. Jag är helt övertygad om att it-skurkar kommer att försöka fiska nya lösenord genom att skicka ut mejl med länkar. Läs meddelanden noggrant. Klicka inte på länkar. Det kan vara bluff. Gå i stället direkt till tjänstens eller företagets webbplats med samma adress som du brukar använda och följ det rutiner som ska finnas för exempelvis lösenordsbyte.

Informationen vi får just nu innehåller en hel del överdrifter, både att alla lösenord är röjda eller att Internet är trasigt. Men när nu buggen är allmänt känd så kan det vara lämpligt att använda tjänster som konstaterat att de inte är sårbara eller tjänster som säger att de har uppdaterat. Ytterligare en möjlighet är att använda säkerhetsprodukter som inte har sårbarheten över huvud taget, det vill säga, hitta en annan korg att lägga ägg i.

Anne-Marie Eklund Löwinder är säkerhetschef på Punkt SE.