8 april, 2014

Sårbarheter i OpenSSL kan få stora konsekvenser

En allvarlig sårbarhet har upptäckts i populära OpenSSL som används av miljontals webbplatser i syfte att kryptera data. En angripare kan genom att utnyttja sårbarheten, som fått namnet The Heartbleed Bug, övervaka all data som passerar mellan webbtjänsten och användare av webbtjänsten. Det går även att dekryptera trafik som samlats in ett tidigare skede.

SSL/TLS är ett kryptografiskt mjukvarubibliotek avsett att säkra upp användares kommunikation på webben. SSL/TLS används frekvent för webbtjänster, email, instant messaging och vissa virtuella privata nätverk (VPN).

The Heartbleed bug kan användas av vem som helst för att läsa av minnet av de system som använder sig av sårbara versioner av OpenSSL. Buggen äventyrar de hemliga nycklar som används för att identifiera tjänsteleverantörerna och för att kryptera trafik, namn och lösenord för användarna samt det faktiska innehållet i data som kommuniceras. På så vis kan angripare inte bara avlyssna kommunikationen, utan det går att stjäla data direkt från de tjänster som använder OpenSSL och det är dessutom lätt för en angripare att imitera tjänster och användare. Att använda sig av okända nätverk medför också en stor risk.

- Använd inte osäkra gratisnätverk, t ex wifi på tåget eller bussen. Risken att bli utsatt för Man-in-the-middle-attacker (MITM) är drastiskt mycket större på allmänna nätverk, jämfört med ditt hemmanät, menar IT-säkerhetskonsulten Charlie Svensson på Sentor.

Säkerhetsforskarna som upptäckte buggen har testat hur en angripare skulle kunna utnyttja bristerna som finns i OpenSSL. Genom att testa på deras egna tjänster kunde de verifiera att det gick att få ut hemliga nycklar, användarnamn, lösenord, instant messages, emails och annan kritisk information utan att för den skull lämna några synliga spår. Buggen kan med andra innebära stora konsekvenser för dig som är aktiv på nätet.

- Privata nycklar kan vara på vift. Det innebär att när du besöker https://www.google.com/ så är det inte nödvändigtvis Google du pratar med. Detsamma gäller såklart banker, myndigheter, och sociala nätverk. Konsekvenserna kan alltså vara att känslig information avslöjas - kundinformation, bankinfo, koder, lösenord, etc. SSL har egentligen gått från att vara en "garanti" på vem du pratar med, till att vara en svag indikation på vem du pratar med, säger Charlie innan han fortsätter.

- Beroende på kryptokonfigurationen så kan gammal avlyssnad trafik dekrypteras med dessa nycklar. Bankkontouppgifterna som du såg på bankens hemsida förra veckan kan alltså komma att dekrypteras. Och det finns ingenting du kan göra åt det.

Enligt uppgift är alla versioner av OpenSSL 1.0.1 till och med 1.0.1f utom 1.0.0 och 0.9.8 sårbara. Omfattningen av säkerhetsbuggen är enorm i och med att många operativsystem och de vanligaste mjukvarorna för webbservrar, Apache och Nginx, misstänks använda sig av en sårbar version av OpenSSL. Om man misstänker att man är riskzonen bör man agera snarast.

- Man bör omgående undersöka om man kör sårbara versioner av OpenSSL. Om man gör det så bör man verifiera sårbarheten för att fastställa om en angripare har kunnat utnyttja den, och ifall det är möjligt så bör man revokera alla certifikat som hanteras av servern i fråga och införskaffa nya. Utöver det, patcha menar Charlie.

Även Myndigheten för samhällsskydd och beredskap har under morgonen uppmärksammat säkerhetsbristen i OpenSSL.

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.

Ta kontroll över din säkerhet

Boka kostnadsfri rådgivning

I samråd med dig pratar vi om din organisations säkerhetsutmaningar och diskuterar hur vi på Sentor kan hjälpa dig att uppnå dina mål. Om du hellre vill bli kontaktad, ange dina uppgifter i kontaktformuläret.