38 MORGUNBLAÐIÐ SUNNUDAGUR 27.4. 2014 Græjur og tækni Samkvæmt neytendastofu Japans voru 90- 95% allra farsíma sem seldir voru þar í landi vatnsheldir. Japanir eru yfirleitt mjög lengi í baði en baðkörin þar eru dýpri en í flestum öðrum löndum og vilja Japanir taka símann sinn með til að missa ekki af neinu. Vatnshelt í Japan 1 Hvað er Heartbleed? Í sem stystu máli er Heartbleed örygg- isgalli í forritun OpenSSL hugbún- aðarins sem er al- gengasti hugbún- aður sem notast er við á netinu. Tölvu- þrjótar gætu mögulega hafa nýtt sér þennan galla til þess að komast yfir persónulegar upp- lýsingar notenda á mörgum af vinsælustu vefsvæðum heims, en talið er að um tveir þriðju allra vefþjóna á net- inu notist við OpenSSL hug- búnað. Gallinn hefur verið kallaður Heartbleed (hjartasár) vegna þess að hann kom fyrst til sögunnar í viðbót við hugbúnaðinn sem kallast The Heartbeat extension (hjart- sláttarviðbótin) sem kom út í febr- úar 2012. Þessi viðbót gerði mögu- legt að halda dulkóðuðum samskiptum lifandi yfir lengri tíma án þess að endurhlaða síðuna og endurvekja þannig hina dulkóðuðu tengingu. Frá og með útgáfu 1.0.1 af OpenSSL sem kom út í mars sama ár var þessi viðbót hluti af OpenSSL kóðanum. Gallinn lýsir sér þannig að hægt er að blekkja hugbúnaðinn til þess að senda uppýsingar sem geymdar eru í minni vefþjónsins sem samskiptin fara um. Þær upplýsingar geta innihaldið ýmislegt, svo sem lykilorð eða aðrar viðkæmvar upplýs- ingar. 2 Hvað er OpenSSL?OpenSSL er opin útgáfa af dulkóðunar- staðli sem kallast SSL. Þessi útgáfa hefur notið mikilla vinsælda þar sem hún er bæði opin og ókeypis. Hún hefur verið notuð á mörgum vefsvæðum til þess að vernda við- kvæmar upplýsingar sem notendur deila yfir netið, svo sem lykilorð, kortanúmer eða bankaupplýsingar. Hugbúnaðurinn var til þess gerð að gera samskipti með persónu- legar upplýsingar öruggari. Þrátt fyrir að þetta sé verðugt og mik- ilvægt verkefni, þá er einungis einn maður í fullu starfi við að viðhalda þessum dulkóð- unarstaðli, en sjálfboðaliðar víðs vegar um heiminn leggja sitt af mörkum líka. 3 Hvernig lýsir gallinn sér?Gallinn er fólginn í svokölluðum hjart- sláttarskilaboðum. Þau virka þannig að tölva á öðrum enda dulkóðaðra samskipta sendir hjartsláttarboð til tölvu á hinum endanum. Hjartsláttarboðið er öllu jafna beiðni um svar af ákveðinni lengd og tölvan á hinum endanum á að svara skilboðunum á réttan hátt. Hjartsláttarboðin væru á mannamáli eitthvað á þessa leið: „Sendu fjögra stafa orðið „fugl““ og tölvan á hinum endanum á að senda til baka skilaboðin „fugl“. Með því að nýta sér gallann getur árásaraðili beðið um stutt orð sem hann biður um að sé lengra. Sem dæmi, „sendu mér fimm hundr- uð stafa orðið „fugl““ og tölvan á hinum endanum sendir þá orðið „fugl“ ásamt næstu 496 stöfum sem eru í minni netþjónsins. Með þessum hætti má blekkja tölvuna til að senda til baka talsvert af gögnum. Þar á meðal geta verið mjög við- kvæmar upplýsingar, meðal annars svokall- aður einkalykill (e. private key)að vefþjón- inum, sem gerir þrjótum kleift að fylgjast með allri umferð sem fer um þjóninn. 4Hversu mikiller skaðinn? Það voru meðlimir í öryggisteymi Google og hugbúnaðar- fyrirtæki sem kall- ast Codenomicon sem fyrst til- kynntu um þenn- an galla. Flestir brugðust hratt við og ný útgáfa af hugbúnaðinum var fljótt fáanleg. Eins og er veit enginn hvort þessir aðilar voru þeir fyrstu til þess að uppötva gallann, eða hvort þessari aðferð hef- ur verið beitt einhvers staðar. Gallinn hefur þó ver- ið til staðar allar götur frá því 2012. Mögulega hefur hann verið nýttur, en ómögulegt er að sjá það, þar sem árás af þessu tagi skilur ekki eftir sig greinanleg merki. Hvort heldur upplýsingum hefur verið stolið með þessum hætti eður ei, má reikna með að þessi galli geti haft talsverð áhrif á traust almennings á öryggi gagna á netinu. 5Hvað getur þú gert?Þar sem Heartbleed er öryggisgalli í hugbúnaði vefþjóna er lítið sem þú getur gert ef vefþjónn sem þú ert í samskiptum við hefur ekki verið uppfærður. Góðu frétt- irnar eru þó þær að ný og örugg útgáfa af dulkóðuninni var í boði mjög fljótlega vegna mikillar umfjöllunar og almennrar vitneskju um hann hafa flestir brugðist við honum. Þar á meðal flest stærri fyrirtæki sem lík- legt er að þú sért í samskiptum við. Í örygg- isskyni er þó mikilvægt að breyta um lyk- ilorð hjá helstu vefsvæðum sem vitað er að notuðu þessa dulkóðun. Listi yfir algengustu vefsvæðin fylgir þessari grein (sjá lista í miðju hjartanu). Mikilvægt er að áður en skipt er um lykilorð að fullvissa sig um að vefþjónustan sé að notast við útgáfu af OpenSSL sem er ekki í hættu. Eftirfarandi eru slóðir á þjónustur þar sem hægt er að prófa slíkt: https://filippo.io/Heartbleed/ https://lastpass.com/heartbleed https://www.ssllabs.com/ssltest/ Að lokum er gott að hafa í huga að þrjótar hafa reynt að nýta sér að almenningur er meðvitaður um þessa ógn. Ef þú færð tölvu- póst sem inniheldur hlekk á síðu til að breyta lykilorði er réttast að fara varlega í að elta slíka hlekki þar sem þar gæti verið um falspóst að ræða. Farðu frekar beint á síðu viðkomandi fyrirtækis í gegnum vafrann og breyttu lykilorði þar. 5 spurningum um öryggisgallann Heartbleed svarað ÞAÐ HEFUR VARLA FARIÐ FRAMHJÁ NETNOTENDUM AÐ SKÆÐUR ÖRYGGISGALLI SEM KALLAÐUR ER HEARTBLEED UPPGÖTVAÐIST NÝLEGA. HÉR ER SVARAÐ NOKKRUM ALGENGUM SPURNINGUM UM GALLANN OG HVAÐ ÞÚ GETUR GERT TIL AÐ STEMMA STIGU VIÐ ÁRÁSUM. Sveinn Birkir Björnsson sveinnbirkir@gmail.com Yahoo Amazon Web Services Box Dropbox SoundCloud OKCupid Github Minecraft IFFT Tumblr Pinterest Instagram Facebook 500px Flickr LastPass Duckduckgo HJARTASÁR NETSINS * Í örygg-isskynier mikilvægt að breyta um lykilorð hjá helstu vef- svæðum sem vitað er að notuðu OpenSSL dulkóðun. EF ÞÚ NOTAR EFTIRFARANDI VEFSVÆÐI SKALTU BREYTA LYKILORÐINU ÞÍNU:

Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36
Blaðsíða 37
Blaðsíða 38
Blaðsíða 39
Blaðsíða 40
Blaðsíða 41
Blaðsíða 42
Blaðsíða 43
Blaðsíða 44
Blaðsíða 45
Blaðsíða 46
Blaðsíða 47
Blaðsíða 48
Blaðsíða 49
Blaðsíða 50
Blaðsíða 51
Blaðsíða 52
Blaðsíða 53
Blaðsíða 54
Blaðsíða 55
Blaðsíða 56
Blaðsíða 57
Blaðsíða 58
Blaðsíða 59
Blaðsíða 60
Blaðsíða 61
Blaðsíða 62
Blaðsíða 63
Blaðsíða 64