Som styremedlem i IT-arena ble jeg kontaktet av Drammens Tidende om sikkerhetsproblemene knyttet til «Heartbleed», en feil som har skapt mye usikkerhet de to siste dagene. Det resulterte i denne artikkelen

Heartbleed logo
Heartbleed logo

.

Det er ikke skrevet noe feil i artikkelen, men jeg vil bruke anledningen til å gi litt bedre informasjon enn hva som kan formidles i et kort intervju. Og, forresten, at desken kaller meg for «it-ekspert», er dt.no sin egen oppfatning, jeg ville aldri ha funnet på å bruke den betegnelsen om meg selv. Men ettersom jeg har jobbet med utvikling og drift av mange store nettsteder de siste årene, kan jeg ganske mye om fornuftig (inter)nettvett.

I dette blogginnlegget skal jeg forsøke å svare på:

Hva er «Heartbleed»?

Hvor stort er omfanget?

Hvilke konsekvenser har deg for meg som privatperson?

Hva kan jeg gjøre for å sikre meg som privatperson?

Hvilke konsekvenser har det for bedriften min?

Hva kan jeg gjøre for å sikre oss?

Hvordan lager, oppbevarer og sikrer jeg solide passord?

 

Hva er «Heartbleed»?

«Heartbleed» er navnet på et sikkerhetshull som ble omtalt av bl.a. google første gang mandag 7. april 2014 (mandag denne uka). Kort fortalt: når du surfer, sendes det data frem og tilbake mellom din pc/mobil/nettbrett og nettstedet du surfer på. For at ikke andre skal kunne lese denne informasjonen, brukes det ulike krypteringsmekanismer. En av de mest populære heter OpenSSL, og her har det vært en programmeringsfeil som gjør det mulig å hente ut ukryptert informasjon fra serverens minne – f.eks brukernavn, passord, kredittkortnummer osv.

Denne feilen har eksistert i 2 år før den ble oppdaget om omtalt av «gode krefter». Om personer med onde hensikter har visst om feilen vet man ikke med sikkerhet, men min oppfatning er at det er naivt å tro at dette ikke har blitt oppdaget av personer med ønske om å finne slik informasjon.

Hvor stort er omfanget?

Det er vanskelig å anslå omfanget. det vi vet, er at OpenSSL er en av de mest populære krypteringsmekanismene på internett. Igjen: det er derfor tryggere å anta at du KAN være omfattet, enn å lukke øynene å tenke at det sikkert ikke har skjedd med meg. Du kan sjekke om nettsted du besøker er rammet eller ikke på denne linken. Men du kan ikke vite NÅR nettstedet sikret seg. Det kan ha skjedd for 10 minutter eller 4 dager siden. Alle de store, kjente norske og internasjonale nettstedene ER allerede sikret, som f.eks google, facebook, vg, dagbladet, drammens tidende osv. Men mange av dem har hatt denne feilen i 2 år.

Hvilke konsekvenser har deg for meg som privatperson?

I 2 år har det vært mulig å hente unt informasjon fra nettsteder du har besøkt. Det betyr at mennesker med uærlige hensikter i lang tid har kunnet hente ut informasjon som du absolutt ikke ønsker å dele med noen som helst. Selv om nettsted du besøker i dag er sikre, så kan de ha hatt feilen, og informasjon om ditt passord, kredittkortnummer osv kan ha kommet på avveie.

Hva kan jeg gjøre for å sikre meg som privatperson?

Skift passord på alle nettsteder du har innlogging til. Og ikke minst: sørg for å bestille SMS-varsling på alle kredittkortene dine, gjerne uten beløpsgrense, slik at du får en SMS hver gang noen forsøker å belaste kredittkortet ditt. Ta umiddelbart kontakt med banken din ved mistanke om misbruk.

Sørg for å ha antivirus installert på pc, og å installere alle oppdateringer som blir tilgjengelig så fort som mulig..

Tips til sikre passord og passordoppbevaring finner du nederst i denne artikkelen!

Hvilke konsekvenser har det for bedriften min?

Ta kontakt med din IT-leverandør eller IT-avdeling for å forhøre deg om din bedrift er berørt. Det er i hovedsak nettsteder (internettservere) som er berørt, og problemet ser ut til å være større for nettsteder som bruker java/linux enn for de som bruker Microsoft-produkter. Men det viktigste å sjekke er om det brukes OpenSSL eller om det bruke andre krypteringsmekanismer.

Hva kan jeg gjøre for å sikre oss?

Implementer endringene slik det er beskrevet av OpenSSL. Tilbakekall gamle sertifikater, og implementer nye. Følg med på alle oppdateringer fra OpenSSL. Dersom dere har vært rammet av feilen, bør dere også sende en mail til alle registrerte brukere, og oppfordre dem til å bytte passord.

Hvordan lage sikre passord? Og holde orden på dem?

For mange oppleves det som en uoverkommelig oppgave å bytte passord på alle tjenester man er logget inn på. Her er noen enkle hjelpemidler:

1. Aldri bruk samme passord «overalt».

Hvis noen med onde hensikter greier å knekke passordet ditt, er det første de gjør å sjekke om dette passordet virker på andre nettsteder.

2. Lage passord selv:

– Passordet bør være minst 12 tegn, og inneholde store/små bokstaver, tall og spesialtegn

– Men gjør det enkelt for deg selv å huske, f.eks. kan du bruke et postnummer der du bodde før, et gammelt telefonnummer e.l., kombinert med et ord som er lett å huske og de første bokstavene i nettstedet du besøker. For eksempel «30Kjøttkaker24goog» – her har jeg brukt postnummer 3024 (men delt det opp), og som det fremgår av de fire siste bokstavene er dette et passord som kan brukes på google.

– Et annet alternativ er å bruke hele setninger. Lett å huske! F.eks. «JegvariHellas2011»

3. Programmer for å lage passord automatisk

For å holde styr på alle passordene og hvor du har brukt de, kan du laste ned et «passord-hvelv». Her kan du lagre alle passordene dine bak ett enkelt passord. Dette finnes også som «plugins» til nettleseren din, slik at du bare trenger å huske på ett eneste passord! Sjekk f.eks. Keepass eller 1Password!

– Alternativet er å bruke en passordgenerator. Det finner du for eksempel hos Norton,

 

Med disse hjelpemidlene er det enklere enn du tror å bytte passord «overalt» på kort tid – gjerne minst en gBestem fremhevet bildeang i året. Lykke til!