it verden har i de sidst par døgn været helt på tåspidserne. Årsagen er, at en fejl i et af de "moduler" der skal sikre vores data når det transporteres på internettet, gør at udefrakommende uopdaget kan hente informationer fra servere og websites som vi ellers stoler på.
I værste tilfælde kan dine brugeroplysninger og passwords være opsnappet og gemt til senere brug. Mange eksperter råder til at skifte passwords, men jeg deler den holdning, at det er det værst tænkelige tidspunkt at gøre det på. Sårbarheden er kendt af alle nu og mange vil se hvad de kan få ud af de servere der endnu ikke er opdateret. Hvis du skifter dit password på en sårbar side nu, er sandsynligheden stor for, at nogen opfanger dit passwordskifte. Havde dit password været gemt ville det sandsynligvis allerede (da hullet har været der i ca. 2 år) været brugt mod dig.
Jeg anbefaler at du finder ud af om den side du overvejer kan være ramt også faktisk er ramt. Brug et testsite til at teste en side/server - hvis du får et positivt resultat så brug lidt tid på at finde ud af hvorfor ved at læse årsagen til resultatet - da det kan skyldes andre ting (blandt andet at der er sat et værn op mod sårbarheden).
Alternativt er at se på denne liste over ikke sårbare sider (samt sider man skal være varsom med til man ved mere)
Hvis siden er ramt eller på listen - VENT med at skifte password - hvis den er sikker SKIFT password
Hold også øje - uden at gå i panik - med dine kontoudtog hvis du på nogle af de sårbare sider har brugt betalingskort.
Jeg har set en top 10000 liste og der er ikke umiddelbart sider som jeg vurderer der er mange danskere der bruger, men igen har jeg ikke overblik over situationen på danskernes foretrukne sider.
Hvis du vil læse mere på dansk og se flere værktøjer så blandt andet test af din egen server, så læs Henrik Lund Kramshøjs blog
Lidt mere teknisk
Så længe man bruger en af de sårbare versoner af OpenSSL (version 1.0.1 og 1.0.1f og 1.0.2-beta1) er der et problem.
Er du i tvivl eller ønsker du jeg tester din server / NAS ect. så kontakt mig endelig.
Løsningen er er opgradere din openSSL, indsætte regler for IDS der blokerer muligheden samt overveje udskiftning af nøgler (se Henrik Kramshøjs blog).
Ingen kommentarer:
Send en kommentar