2014-04-09

Heartbleed-buggen och OpenSSL

De senaste dagarna har det skrivits om det största hotet genom tiderna på internet och att vi alla kan vara drabbade.

Vad har då hänt?
När du besöker en ”säker” webbplats och ser hänglåssymbolen i webbläsaren kopplas du upp via en säker, krypterad kanal till servern så att ingen kan avlyssna det som skickas, t.ex. dina lösenord. Det som upptäckts nu är den s.k. Heartbleed-buggen i krypteringsprogramvaran OpenSSL. Den felaktiga versionen av OpenSSL används av många men långt ifrån alla servrar på internet. Buggen möjliggör att obehöriga kan koppla upp sig mot säkrade servrar och tjuvlyssna på den krypterade trafiken och ev. då hitta lösenord och annan känslig information.
Buggen har funnits sedan mars 2012 men varit okänd eller i varje fall inte offentliggjord förrän 8:e april 2014. Detta gör att det är svårt att säga om någon information har läckts under tiden. När det nu är känt kommer förmodligen många, av olika skäl, att försöka avlyssna krypterad internettrafik varför åtgärder mot detta måste tas omgående. Ägare av servrar på internet har eller håller förhoppningsvis på med att rätta felen enligt de anvisningar som tagits fram. Men även användare bör byta lösenord så snart servrarna är rättade. Det vore därför lämpligt att webbplatser som gjort sina rättningar också visar det på sina hemsidor och uppmanar användare att byta lösenord.

Inga kommentarer:

Skicka en kommentar