Hvernig bregðast á við Heartbleed gallanum

Innbrotavörn Nýherja stoppaði í síðustu viku um 1.500 tilfelli af Heartbleed árásum samkvæmt öryggissérfræðingi fyrirtækisins. Guðmundur Arnar Sigmundsson, birti í gær bloggfærslu um Heartbleed gallann þar sem hann útskýrir gallann og bendir á hvernig einstaklingar og fyrirtæki geti brugðist við.

Rúm vika er liðin frá því að fréttir bárust af öryggisgalla í opinni útfærslu á TLS/SSL dulkóðunaraðferðinni OpenSSL. Guðmundur segir gallann vera kallaðan Heartbleed vegna þess að hann kemur fram í svokölluðum hjartsláttar skilaboðum sem notuð eru til að halda dulkóðuðum samskiptum lifandi yfir lengri tíma.

„Öryggisgallinn sjálfur lýsir sér þannig í einföldu máli að hægt var að „plata“ vefþjónustur til þess að gefa árásaraðila upp hluta þeirra upplýsinga sem lágu í vinnsluminni vefþjóna. Hvað lá í minninu á  hverjum tímapunkti var tilviljunum háð en það gat innihaldið lykilorð, notendanöfn, skírteini til að auðkenna þjónustur, skilaboð og tölvupósta. Hvað sem er sem á annað borð fór í gegnum þá,“ skrifar Guðmundur.

Hann segir gallann vera mjög hvimleiðar þar sem hann grafi undan trausti almennings á öruggum samskiptum á netinu.

„Fólki hefur alltaf verið sagt að ef það er að hlaða viðkvæmum gögnum eða upplýsingum yfir internetið, og þá er sama hvort um er að ræða vefpóst, netbankasamskipti eða gagnageymslur líkt og t.d. Dropbox, að þá geti það treyst því að samskiptin séu örugg og dulkóðuð svo lengi sem þau sjái hið margumtalaða https:// fyrir framan nafn heimasíðunnar. S-ið er lykilatriði því það stendur fyrir „secure“ og segir okkur að um dulkóðuð samskipti sé að ræða. Dulkóðuð samskipti sem að byggja á áðurnefndri TLS/SSL dulkóðunaraðferð.“

66 prósent þjónustu á internetinu nýta OpenSSL

Hann segir gallann ekki hafa verið villu í sjálfri dulkóðunaraðferðinni heldur í útfærslunni, en um forritunargalla er að ræða. „TLS/SSL er því ennþá ósnortið og fólk getur ennþá treyst því með góðri samvisku,“ skrifar Guðmundur.

Þá sé OpenSSL gríðarlega vinsæll ókeypis hugbúnaður frjáls til notkunar fyrir alla og talið sé að 66 prósent allra þjónustu á internetinu nýti hann fyrir örugg samskipti. „Stórir aðilar eins og Google, Amazon, Instagram, Dropbox og margir fleiri hafa allir nýtt sér OpenSSL í sínum þjónustum og lentu því í vandræðum í kjölfar uppgötvunar gallans.“

Guðmundur segir flesta, ef ekki alla, hafa uppfært skírteini sín, sem þýði að einstaklingar þurfi eingöngu að uppfæra lykilorð sín hjá þeim þjónustum sem urðu fyrir áhrifum.

Þá vísar hann á lista á síðunni Mashable yfir þær þjónustur þar sem breyta þarf lykilorðum sinum, en Vísir sagði frá þessum lista í síðustu viku. Sé fólk að samnýta sömu lykilorðin fyrir þjónustur sem ekki urðu fyrir áhrifum er þó best að breyta þeim líka.

1500 tilfelli af Heartbleed árásum

Guðmundur segir að fyrirtæki sem séu í rekstri og reki eigin vefþjóna ættu að ganga úr skugga um að þau séu hvergi að keyra OpenSSL hugbúnað sem sé eldri en útgáfa 1.01g. Hafi fyrri útgáfur verið notaðar undanfarin tvö ár sé engin leið að sjá hvort brotist hafi verið inn á þjóna og skírteinum, lyklum og notendanöfnum verið stolið.

„Sé það tilfellið er betra að hafa vaðið fyrir neðan sig og mælum við með því að öll skírteini og lyklar verði endurnýjuð.“

Þá mælir hann með því að forsvarsmenn fyrirtækja íhugi að koma sér upp innbrotsvörn sem fylgist með allir netumferð og leitar eftir þekktum árásarmynstrum.

Hann segir Nýherja keyra sína innri vefi á slíkri vörn og þó hún hafi ekki nýst til að verja fyrirtækið áður en Heartbleed uppgötvaðist hafi hún verið uppfærð.

„Vissulega er gott að öryggisgallar komi upp á yfirborðið svo hægt sé að uppfæra kerfi og stoppa í holur. En upplýsingarnar nýtast líka þeim sem að stunda svona árásir sem reyna í fleiri tilfellum að nýta sér holurnar. Það sást bersýnilega síðastliðna viku á innbrotavörn Nýherja þar sem hún stoppaði rúmlega 1500 tilfelli af Heartbleed árásum,“ skrifar Guðmundur.

Hann nefnir þrjú atriði sem nauðsynlegt sé að framkvæma.

Að einstaklingar uppfæri lykilorð hjá þeim þjónustum sem voru að keyra gallaðar útgáfur af OpenSSL, en gangi úr skugga um að viðkomandi þjónustur séu búnar að uppfæra sín kerfi áður.

Að fyrirtæki hugi að því að uppfæra allar sínar þjónustur sem keyrðu OpenSSL upp í útgáfu 1.01g og endurnýji skilríki og lyklapör í framhaldi af því.

Að fyrirtæki íhugi að koma sér upp innbrotavörn.