For en uges tid siden, blev der opdaget et alvorligt sikkerhedshul, som fik navnet The Heartbleed Bug, som har store konsekvenser på nettet. Her følger en kortbeskrivelse af den og nogle anbefalinger for almindelige net-brugere.
Hvad er Heartbleed?
Heartbleed er en sårbarhed som er fundet i krypteringsbiblioteket OpenSSL, som bruges på rigtig mange hjemmesider til at skabe en sikker forbindelse med ens browser. OpenSSL bruges bl.a. af Google/Gmail, Twitter, Yahoo, Amazon og Dropbox. Sårbarheden giver mulighed for at man vil kunne kikke med på ellers krypteret trafik. Sårbarheden har været til stede i et par år, men er altså først blevet opdaget for nylig.
Hvad bør man gøre?
Første skridt er at administratorerne for alle de hjemmesider, som benytter OpenSSL, får opdateret hjemmesiderne til at benytte den fejlrettede version og dermed får lukket hullet.
Når det er sket (og ikke før), bør man, som bruger af den enkelte hjemmeside, skifte password for at forhindre misbrug, i fald ens konto er kompromitteret.
CSIS skriver lidt om Heartbleed og giver nogle anbefalinger her: https://www.csis.dk/da/csis/blog/4185.
Anbefalinger og værktøjer
Du bør skifte dine passwords til hjemmesider, som er berørt af Heartbleed, når hjemmesiderne har fået opdateret deres software, hvilket nok er sket på nuværende tidspunkt for de flestes vedkommende.
Hvis du bruger LastPass (hvilket jeg kan anbefale), kan du benytte deres sikkerhedsudfordring til at checke din password-boks, bl.a. op imod deres Heartbleed-liste med hjemmesider og opdateringsstatus og dermed få at vide om du bør opdatere. Denne kan startes via LastPass -> Værktøjer -> Sikkerhedscheck eller via adressen https://lastpass.com/index.php?securitychallenge. LastPass er samtidig et godt værktøj til at få rettet op på sådanne sikkerhedsbrister og understøtte i at benytte gode, unikke passwords – se også den tidligere artikel “Adobe hacket – skift password!”.
Hvis man ikke er bruger af LastPass, kan man dog stadig benytte en side hos dem til at checke om en hjemmeside er omfattet og om den nu er opdateret og man derfor bær ændre sit password: https://lastpass.com/heartbleed.
NB: LastPass skriver, at man ikke behøver at ændre ens master-password til LastPass, da krypteringen sker på ens egen PC og man derfor ikke er kompromitteret på trods af at LastPass også bruger OpenSSL.