For hver time som går blir de dårlige «Heartbleed»-nyhetene stadig bedre

De kriminelle kan «sovet» i to år.

Hei, denne artikkelen er over ett år gammel og kan inneholde utdatert informasjon
Publisert
Sist oppdatert

(Dagbladet): Nettskandalen «Heartbleed» omtales som en potensiell sikkerhetskatastrofe, som kan ha gjort sensitive opplysninger om to tredjedeler av verdens nettbrukere tilgjengelige for kriminelle.

Men om det faktisk er noen som er rammet, og for eksempel blitt frastjålet passord og kredittkortopplysninger, er usikkert. Og ettersom verdens ulike nettsider får sikkerhetshullene tettet og brukerne bytter passord, blir sjansen for alvorlige følger mindre og mindre for hver dag som går.

- Er vi veldig heldige, så er det ingen kriminelle som har visst om dette sikkerhetshullet, og da har det ikke skjedd noe skadelig før saken ble kjent denne uka, sier Vidar Sandland, seniorrådgiver i Norsis, til Dagbladet.

I to år Sikkerhetshullet eksisterte i to år, før det ble avslørt. Sikkerhetsekspert Sandland i Norsis sier det hittil ikke er noe som tyder på at kriminelle utnyttet feilen før det ble avslørt.

<strong>POTENSIELT TRØBBEL:</strong> Hvis du ikke har gjort det allerede, er det på tide å bytte passord hos de største og viktigste nettaktørene. Blant de mindre aktørene kan det være lurt å sjekke om sikkerhetshullet er tettet først. Foto: REUTERS / Pawel Kopczynski / NTB scanpix
POTENSIELT TRØBBEL: Hvis du ikke har gjort det allerede, er det på tide å bytte passord hos de største og viktigste nettaktørene. Blant de mindre aktørene kan det være lurt å sjekke om sikkerhetshullet er tettet først. Foto: REUTERS / Pawel Kopczynski / NTB scanpix Vis mer

- Det har ikke kommet noen rapporter som tyder på at noen har utnyttet informasjon som kunne hentes ut gjennom Heartbleed sårbarheten. Hvis noen faktisk satt på store mengder data som følge av dette, er det sannsynlig at de ville brukt det. Men vi ser ikke flere passord eller kredittkort på avveie enn normalt. Det ville vært mest lukrativt å handlet før «alle» byttet passord. Hvis det ikke skjer noe relativt raskt, så er det heldigvis stor sannsynlighet for at det ikke vil skje i det hele tatt. Dataene får mindre og mindre verdi, sier Sandland.

Samtidig skjer det nå angrep mot de nettsidene som ennå ikke har tettet sikkerhetshullene. Store norske aktører som Norwegian, Telenor og Ventelo har sikret seg.

- De tjenestene som ikke har fiksa dette nå, vil flere og flere bli utsatt for angrep, hvor det prøves å hente ut sensitiv informasjon. Det er viktig at også de mindre aktørene nå tetter hullene, sier Sandland.

Krypterte data «Heartbleed» er en feil i krypteringsprogrammet OpenSSL, som brukes til å krypterer dataene som flyter mellom antatt sikre internettsider.

Gode passord-råd:

«Valg av passord
1. Et passord skal være lett å huske for deg og vanskelig å gjette for andre
2. Benytt ulike passord for ulike tjenester
3. Passordet bør være så langt som mulig
4. Bytt passord med jevne mellomrom eller hvis du tror det er på avveier

Noen eksempler

Lag forskjellige passord på forskjellige tjenester. Bruk et setning som du assosierer med tjenesten, men ikke direkte navnet på tjenesten. Eksempelvis trenger du passord for nettbutikk for bøker. Passordet kan da være en setning knyttet til yndlings-boka eller forfatteren din. Setningen bør ha mellomrom eller andre spesialtegn. Dette gjetter ingen og det er også vanskelig å knekke for hackere.

«moRn, jeg heter Kari» er lett å huske, for langt til å knekkes og vanskelig å gjette. Passord som består av vanlige ord må helst være mer enn 20 tegn. Har du med blank og andre spesialtegn kan det være kortere.
«Nthls11st» ser ut som et vrient passord å huske. Passordet er første bokstav fra hvert ord i sangstrofen «Når trollmor har lagt sine 11 små troll». Slike passord bør være mer enn 9 tegn.
Men, IKKE bruk disse eksemplene. Lag dine egne gode passord som er unike for deg og dine tjenester.»

Bruk to-trinnsbekreftelse.

Kilde: Norsis

Ifølge Mashable er nettgiganter som Google, Yahoo og Dropbox blant de tjenestene hvor du bør endre passord, hvis du ikke allerede har gjort det. Det samme gjelder alle de som nå har tettet sikkerhetshullet, og andre giganter som Facebook. Du bør også bytte passord hvis du har hatt samme passord flere ulike steder. Men du bør ikke endre passord på nettsteder som ennå ikke har fikset problemet, fordi det det nye passordet da kan snappes opp. Du kan sjekke om nettsidene er oppdatert for eksempel her eller her.

- Vi anbefaler folk å bruke denne anledningen til å bytte passordene sine og å skru på to-trinnsbekreftelse der det er mulig, sier Sandland i Norsis.

Slik truer Heartbleed deg:

• Heartbleed er en sårbarhet i krypteringsbiblioteket Open SSL. Mange webbaserte tjenester bruker denne protokollen.
• Nettsteder som sikrer kommunikasjonen med kryptert linje — https — bruker gjerne Open SSL som et bibliotek for å sikre kommunikasjonen.
• Det er en sårbarhet i systemet som gjør at du kan dumpe minne fra for eksempel webserveren til din nettbank. I Open SSL er det mulig å sende en håndtrykksmelding bare for å teste at forbindelsen er god.
• Da sender man en pakke med data til serveren, og får en pakke med informasjon tilbake. Hvis du jukser med hvor mye data du sender til serveren, kan du få tilfeldige data fra minnet til webserveren.
• Ved å hente ut tilfeldige pakker på 64.000 tegn mange nok ganger, kan et passord være med i «fangsten».
• Passordet framstår ikke i klartekst, men er kryptert. Den som knekker krypteringen, kan ha tilgang til ditt passord.
(NTB)

Vi bryr oss om ditt personvern

dagbladet er en del av Aller Media, som er ansvarlig for dine data. Vi bruker dataene til å forbedre og tilpasse tjenestene, tilbudene og annonsene våre.

Les mer