Sårbarheten i OpenSSL finnes i millioner av servere verden rundt. Sårbarheten gjør det mulig å få innsyn i kryptert informasjon på tjenester som bruker programmet. Tjenestene kan for eksempel være epost, nettbutikker, men også kommunikasjon system til system.

Dette er en alvorlig sårbarhet, fordi millioner av servere verden rundt bruker programvaren. Alle leverandører av ulike typer nettjenester som eposttjenester, nettbutikker, og alle andre tjenester på nett som bruker SSL-kryptering må sjekke om de har sårbarheten, oppdatere, og varsle brukerne.

Her er noen spørsmål og svar om saken.

- Må jeg bytte passord?
Du trenger ikke bytte passord med mindre du får beskjed om det fra tjenesteleverandøren din. Generelt bør du bytte passord jevnlig, og ha ulike passord på ulike tjenester på nett. Dette kan være en god anledning til å gå over passordene dine, uansett om du frykter du er rammet eller ikke. Hvis du får beskjed om det fra tjenesteleverandører som epostleverandører, nettbutikker og innloggingstjenester du er registrert på , bør du bytte passord med en eneste gang.

- Hva om beskjeder om bytter av passord er lure-eposter?
Det vil alltid være en mulighet. Derfor er det ekstra viktig at du den neste tiden tar en ekstra sjekk av epostene som ber deg bytte passord. Det gjelder spesielt adressen e-posten er sendt fra og adresselenken som skal hjelpe deg å bytte passordet – før du klikker på den. Men du må også se etter andre tegn som kan gjøre deg mistenksom, som for eksempel dårlig norsk eller engelsk.

- Hva er Heartbleed?
Heartbleed er en sårbarhet i programvaren OpenSSL som tillater hvem som helst på Internett å lese minne til systemene beskyttet av de sårbare versjonene av OpenSSL-programvaren. Dette kompromitterer de hemmelige nøklene som brukes til å identifisere tjenesteyterne og kryptere trafikken. Det er som om låsen til døren din ikke virker slik den skal. men det er vanskelig å vite om noen har utnyttet muligheten. Dette gjør det mulig for angripere å:

  • avlytte kommunikasjon

  • stjele data direkte fra tjenestene og brukere

  • å utgi seg for tjenester og brukere.

"Heartbleed" er ikke en ny sårbarhet, men ble først oppdaget og offentlig kjent denne uken. Det er på nåværende tidspunkt uvisst om denne sårbarheten har blitt utnyttet av noen trusselaktører.

- Hvor stort er omfanget?
Vi kjenner ikke til omfanget, hvor mange eller hvem som kan ha utnyttet sikkerhetshullet, og hvor mye informasjon som kan være stjålet. Men omfanget av sårbarheten gjør at dette er svært alvorlig.

- Hvor redd skal jeg være? 
Som privatperson trenger du i utgangspunktet ikke være redd for dette. Du bør ha tiltro til tjenesteleverandøren din, og ha tiltro til at de har gjennomført eller gjennomfører nødvendige tiltak, så lenge du bruker seriøse tjenester på nett. Får du beskjed, bytt passord.

- Hva skal jeg gjøre?
Det er strengt tatt ikke veldig mye enkeltbrukere kan gjøre som er direkte relatert til "Heartbleed"-sårbarheten. Det er først og fremst tjenesteleverandører som nå må gå gjennom sine programmer og sørge for at disse blir oppgradert. Enkelte tjenesteleverandører har allerede kontaktet sine brukere, og det er viktig å høre på det leverandørene nå kommuniserer.

- Hvem er rammet?
Det er svært vanskelig å si hvem, om noen, som er rammet av denne sårbarheten. Samtidig ser det ut til at tidligere utnyttelse av denne sårbarheten ikke kan avdekkes, fordi denne type trafikk ikke loggføres.

- Hva slags nettsteder gjelder det?
Flere medier skriver at så mange som 500.000 nettsteder kan være rammet, men dette er et tall vi i NSM ikke kan bekrefte eller avkrefte. OpenSSL er en svært vanlig programvare i tjenester som krever innlogging, og det er derfor grunn til å tro at sårbarheten vil omfatte svært mange tjenester.

- Er det ikke dumt å bytte passord nå på alle tjenester hvis de ikke er har oppdatert. Da vil jo en angriper få tak i passord og brukernavn?
Det stemmer. Du får beskjed fra tjenesteleverandøren din dersom du må bytte passord. Vi oppfordrer tjenesteleverandører til å først oppdatere programvaren, og deretter varsle berørte brukere.

- Mange offentlige virksomheter er rammet. Hva gjør norske myndigheter med det?
Vi har nå varslet bredt i alle kanaler. Vi har også gjort tilgjengelig veiledningsmateriale for å hjelpe virksomheten med å håndtere dette. Ansvaret ligger her hos den enkelte virksomhet og leverandør: Sjekk om du er sårbar, oppdater programvare, og varsle alle berørte brukere. Bruk veiledningsmaterialet som finnes.

- Når varslet NSM om denne sårbarheten?
Vi i NSM varslet bredt til våre samarbeidspartnere i offentlig og privat sektor, inkludert ca. 90 internettleverandører (ISPer), ved lunsjtider tirsdag 8. april 2014, og har hatt tett dialog med våre kontakter etter dette.

For ytterligere informasjon, se også: