Følgene av Heartbleed

Heartbleed svakheten fikk mye omtale før påsken og har fått en del følger, både positive og negative.

Den første negative følgen er at alle har blitt nødt til å bytte en rekke passord. I tillegg har angripere prøvd å utnytte svakheten i phishing-angrep.

Det har også vært noen positive følger, hovedsaklig at man har forstått viktigheten av rollen OpenSSL har for Internettet. OpenSSL utvikles på et ganske stramt budsjett og har bare en utvikler som jobber med OpenSSL på fulltid, til tross for at det brukes på flere hundre tusen servere.

Mange slike “open-source” prosjekter starter smått, så får de mer støtte fra virksomheter etter hvert som de bruker det. Dette har ikke skjedd med OpenSSL, men det ser ut til å forandre seg nå. Linux Foundation annonserer et tre-års initiativ for å støtte open-source prosjekter med minst 3.9 millioner dollar. OpenSSL blir det første prosjektet som får støtte, men absolutt ikke det eneste, pengene vil gå til mange forskjellige prosjekter, dermed har det ikke bare gode følger for OpenSSL, men også for mange andre viktige prosjekter. Initiativet som heter “Core Infrastructure Initiative”, sponses av en rekke store IT-virksomheter.

The OpenBSD project har en litt mer drastisk tilnærming til problemet og vil skrive om hele OpenSSL. Det nye prosjektet blir kalt LibreSSL. Dette er basert på at koden har utviklet seg over lang tid og blitt fryktelig vanskelig å forstå, noe som øker sannsynligheten for svakheter.

NorSIS anbefaler

  • Hvis du fortsatt er usikker på om en side du bruker har vært eller er sårbar, så kan du sjekke siden her: https://lastpass.com/heartbleed/. Når du bytter passord, følg vår veiledning for gode passord.
  • Angripere er flinke til å tilpasse seg etter hva som er media og vil forme svindlene sine etter dette. Husk dette når du mottar tvilsom epost. Les også vår veiledning om phishing.

Les mer

Publisert: 25. april 2014

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.