Norske myndigheter ber deg bytte passord

Tusenvis av norske passord kan være på avveie. Dataeksperter anbefaler nytt passord, men først etter at nett-tjenesten din har oppdatert sine sikkerhetssertifikater.

Denne artikkelen er over ett år gammel, og kan inneholde utdatert informasjon.

I en pressemelding forteller Nasjonal Sikkerhetsmyndighet (NSM) om den såkalte «Heartbleed Bug»:

– Den gjør det mulig å stjele informasjon som er beskyttet, under normale forhold, med SSL/TLS-kryptering som brukes til å sikre internett, heter det i meldingen.

SSL/TLS gir kommunikasjonssikkerhet og personvern for kommunikasjon på internett, både surfing på nettet, e-post og sending av chat-meldinger.

Facebook og nettbank

Det var datasikkerhetsselskapet Codenomicon som for to dager siden oppdaget hullet i sikkerhetssystemene.

– Det er en sårbarhet som gjør at en ekstern aktør, en skurk, kan sende en forespørsel til en tjeneste, som Facebook, nettbanken eller nettsiden på skolen din. Der kan de hente ut informasjon de ikke skal ha tilgang til, sier datasikkerhetsekspert Per Torsheim til TV 2.

– Skurker kan ha fått tak i brukernavnet og passordet ditt, sier han.

I videoen øverst i artikkelen forklarer han hvordan sikkerhetstrusselen virker.

Han anbefaler å skifte passord, men det er ikke fullt så enkelt:

– Alle leverandører må sjekke sine tjenester og sjekke om de er sårbare. Så bør de legge ut en melding til sine brukere: nå er vi trygge - skift passord, sier Torsheim.

– Bytter du passord før tjenesten er sikker, risikerer du å gi brukernavnet og passordet til hackerne, sier han.

Han anbefaler å vente til nett-tjenesten er sikker, før du bytter passord.

Kommunikasjonsdirektør Mona Strøm Arnøy sier også at tjenester på nettet som bruker de aktuelle sikkerhetssertifikatene, må fikse sine systemer.

– Det er samtidig ikke grunnlag for å si at folk må bytte passordene umiddelbart, i alle fall ikke i så stort omfang som det har blitt fremstilt. Men man kan benytte anledningen hvis man får en påminnelse om at det er lurt å gjøre det, sier hun. 

– Dersom du får et varsel om oppdatering på en programvare, benytt dere av oppdateringene. Så har man i alle fall gjort noe for å være litt sikrere. Lytt til informasjon fra tjenestene man benytter seg av, sier Arnøy. 

DNB gikk på sine nettsider ut med denne meldingen onsdag kveld, vedrørende SSL-sårbarheten: 

«(...) Det er imidlertid ingenting som tyder på at dette berører dnb.no. I DNB bruker vi også BankID som innlogging for å ha en ekstra sikkerhet i det at man også må ha engangskode fra kodebrikke i tillegg til passord. Med andre ord vil et passord alene ikke kunne gi uvedkommende noen vei inn i nettbanken. Et godt råd er imidlertid å ikke ha samme passord på dnb.no som du har på andre tjenester på nett».

10.000 norske servere

Heartbleed-feilen gjør at uvedkommende kan lese minnet til systemene, som er beskyttet av SSL-programvaren. Dette gjør det mulig for angripere å avlytte kommunikasjon, stjele data direkte fra tjenestene og brukere, og å utgi seg som tjenester og brukere.

DN.no skriver at det dreier seg om 10.000 norske servere. 

– Vi anbefaler at tjenesteleverandører som har sårbarheten, og som har kunder med innloggingstjenester på den ene eller andre måten, oppdaterer, varsler brukerne, og anbefaler bytte av passord, sier Kjetil Berg Veire, informasjonssjef i NSM til DN.no.

Norwegian endret

Det er mange store selskaper på listen over, og trolig er nesten alle nordmenn berørt av sårbarheten. Flere selskaper har endret sine systemer. Deriblant Norwegian.

– Vi fikk oppgradert programvaren umiddelbart etter at den ble tilgjengelig fra leverandøren, slik at sikkerhetshullet nå er tettet, sier Astrid Mannion, kommunikasjonsrådgiver i Norwegian, ti DN.no.

SNMs råd for å stoppe lekkasjen:

For privatpersoner er det viktig å oppdatere programvaren på PC-en din umiddelbart. Ikke utsett - gjør det nå.

* Ha et bevisst forhold til hvilke passord du bruker - nå som alltid. 

* Er du i tvil, spør de tjenesteleverandører du bruker, og hør på hva slags eventuelle beskjeder du får fra dem.

For deg som driver datasystemer:

Så lenge den sårbare versjon av OpenSSL er i bruk kan den bli misbrukt. 

De som eier systemer og drifter nettsider må oppdatere programvaren og vurdere skadepotensialet. SNM anbefaler:

* sjekke om det finnes oppdaterte pakker til deres system

* oppdatere om nødvendig

* Man kan kompilere OpenSSL uten heartbeat-extension.

SNM anbefaler også at tjenesteleverandører som har sårbarheten, og som har kunder med innloggingstjenester på den ene eller andre måten, oppdaterer, varsler brukerne, og anbefaler bytte av passord.