I dag og i går flyter media over med masse informasjon om et “superhull” på sikkerheten på Internett, og det stemmer. Hullet ble oppdaget av Google og Code Nomicon tidlig denne uken og det er et kjempehull. Problemet er jo at det kan jo være litt vanskelig å vite hvordan man skal forholde seg til dette? For å gi noe direkte tips ville jeg råde deg til å gjøre følgende:
1. Sjekk om tjenesten du bruker er utsatt for feilen (banken din, facebook, google eller andre) med ett av de tilgjengelige verktøyene. Ett sånt verktøy er http://filippo.io/Heartbleed/. Bare skiv inn adressen til siden du logger inn på (f.eks. accounts.google.com for Google kontoer) og dersom verktøyet sier “All good” da er det OK å skifte passord. Får du ikke all good så ikke skift passordet enda! Du kan selvsagt avslutte kontoen din i mellomtiden om du ønsker, det fungerer jo godt. Prøv igjen om en dag eller to – og gjerne mas på de om å fikse tjenesten om nødvendig!
Disse tjenestene er allerede fikset og du kan trygt skifte passord:
- Tumblr
- Google/Gmail/YouTube
- Amazon Web Services
- eBay
- Dropbox
- Netflix
- SoundCloud
- OKCupid
- Wunderlist
- Telenor
Oppdaterte lister på hvilke tjenester som er fikset og hvilke man anbefaler å endre passord på er her: http://mashable.com/
2. Du kan også sette opp 2-faktor godkjenning for kontoen din på mange tjenester. Dette betyr at du logger inn med brukernavn og passord pluss at du får en SMS eller har en kodegenrator på mobilen din. På denne måten holder det ikke bare å ha passordet ditt, de må også stjele mobilen din for å klare å logge inn. Mange av de store leverandørene støtter dette allerede, slik som Google, Facebook, Twitter, Microsoft and more. Sjekk disse linkene for å komme i gang:
Google: http://www.google.com/landing/2step/
Facebook: https://www.facebook.com/note.php?note_id=10150172618258920
Twitter: https://blog.twitter.com/2013/getting-started-with-login-verification¨
Microsoft: http://windows.microsoft.com/en-us/windows/two-step-verification-faq
For å få mer informasjon om sikkerhetshullet så kan du lese dette: http://heartbleed.com/. Kjører du en server med OpenSSL så bør du umiddelbart ta grep for å lukke hullet som er oppdaget. Når du har gjort det kan du også bestille nye SSL sertifikater for å være helt sikker, men det er jo også et kostnadsspørsmål. For å være sikker må du oppgradere til OpenSSL versjon 1.0.1g eller være på en versjon som er eldre enn 1.0.1.
Grunnen til at det er så mye hysteri rundt denne feilen er at den har vært ute nå i 2 år og dersom noen i stillhet har funnet den og klart å få tak i nøkler og passord så kan de sitte på kjempestore bakdører inn på tjenester uten at noen har klart å legge merke til det. Ingen spor i loggene legges igjen etter noen utnytter hullet … dette er grunnen til at det er god grunn til å skifte passordene uansett. Helt hysterisk krise er det dog ikke, jeg har i alle fall ikke hørt om noen som har utnyttet hullet enda. Håper denne artikkelen hadde noe god informasjon til deg, og igjen, gå til 2 faktor, det er det som må til i fremtiden!
Recent Comments