Alvorlig sikkerhetshull på nettet
Heartbleed er navnet på et svært alvorlig sikkerhetshull i den såkalte OpenSSL-protokollen, som brukes til å beskytte sensitiv informasjon på nettet. Dette hullet gjør det mulig for angripere å få tak i brukernavn og passord som du og jeg bruker til å logge oss på ulike typer nettsider.
Krisetilstander onsdag kveld
I går kveld var alle de store nettavisene fulle av store overskrifter om den store trusselen på nettet, Heartbleed. Det var virkelig en krisestemning – alle ble oppfordret til å bytte alle sine passord med en gang. På morgenkvisten torsdag er saken tonet noe ned, men krisen er absolutt ikke over, alle nettbrukere oppfordres uansett til å ha en god passordstrategi.
Les også: Slik lager du sikkert passord
Sårbarheten har vært kjent i over to år, men på mandag i denne uken ble Heartbleed kjent, en feil som berører OpenSSL. Heartbleed er et sikkerhetshull i en såkalt OpenSSL-protokoll, som brukes til å beskytte informasjon som er på nettet, et hull som gjør det mulig for angripere å få tilgang til sensitiv informasjon som brukernavn og passord.
Dette hullet er svært alvorlig, men sikkerhetseksperter understreker at det dreier seg ikke om angrep, men et potensielt angrep.
OpenSSL er såpass populært hos de som driver nettsider, at veldig mange nettbrukere er påvirket av dette. Enkelte ekspertere har kalt denne situasjonen som den mest alvorlig trusselen fra begynnelsen av internett.
Omfanget er foreløpig ukjent
Per i dag er eksperter usikre på omfanget og alvorlighetsgraden. Det er mulig dette ikke får store konsekvenser, men det er også godt mulig at store mengde passord er på avveie, og at vi i nærmeste fremtid vil oppleve flere angrep.
Bytt passord, men ikke for tidlig
Alle nettbrukere oppfordres til å bytte sine passord som de bruker på nettsider. «Problemet» er at ikke alle nettsider har fikset hullet, selv om OpenSSL allerede har lansert en fiks. Derfor er det mulig at hvis du endrer passord nå, er det for tidlig – hvis en bestemt nettside fikser hullet i etterkant av dette, er du like langt – du må da bytte passord enda en gang.
Poenget er at du bør bytte passord når nettsideansvarlig har fikset hullet. Det finnes faktisk en nettside som kan sjakke dette:
Filippo.io kan brukes til å sjekke tilstanden for en bestemt nettside, altså om en nettside benytter OpenSSL, og om den er blitt oppdatert i det siste. Hvis en nettside ikke bruker OpenSSL, trenger du ikke å gjøre noe, fordi da er nettsiden ikke sårbar. Hvis nettsiden bruker OpenSSL, og ikke er blitt oppdatert i det siste, bør du vente med å bytte passord.
Hvilke nettsider er (ikke) rammet?
På nrk.no og mashable.com finner du en oversikt over hvilke tjenester som er rammet av sårbarheten, og hvor du bør bytte passord allerede nå. For andre nettsider bør du vente med å bytte passord.
Følgende nettsider er ikke rammet:
- Altinn
- Amazon
- DNB
- Hotmail/Outlook
- Komplett
- Nordea
- PayPal
- Skandiabanken
- Sparebank1
Følgende nettsider er rammet, men som har oppdatert sine tjenester, slik at du kan bytte passord:
- Dropbox
- Flickr
- Gmail
- LastPass
- Tumblr
En ny passord-strategi?
Dette kan være en fin anledning til å vurdere en ny og bedre passord-strategi, hvis ikke du allerede har en god strategi. Les med om dette i vår guide.
Kilder: Dagbladet, VG, NRK, Pcworld.com, Aftenposten
Siste kommentarer