Heartbleed og de forskjellige operativsystemene


redaksjonen
Publisert 19. mai 2014, kl. 09:51

Attachment-1

Hvem sitt hjerte blør?

Apple

Apple har gått bort fra OpenSSL siden 2011, og er dermed ikke berørt av Heartbleed. De hadde imidlertid sitt eget sikkerhetsproblem, kalt «gotoFail«, bare uker før OpenSSL-feilen ble offentliggjort.

«OpenSSL gir ikke et stabilt applikasjonsprogrammeringsgrensesnitt (API) fra versjon til versjon. Bruk av OpenSSL-bibliotekene i OS X frarådes derfor, selv om OS X tilbyr OpenSSL-bibliotek.» [Kilde]

Android

«Strengt tatt er versjoner av Android-plattformen – med unntak av Jelly Bean 4.1 og 4.1.1 – i seg selv ikke sårbare for Heartbleed, siden de fleste av dem ikke bruker OpenSSL, eller gjør det på en slik måte at feilen deaktiveres som standard. Individuelle apper bruker imidlertid ofte OpenSSL, noe som gjør dem utsatt for angrep.» [Kilde]

Ifølge den samme kilden inneholder de fleste appene likevel ikke nyttige data, så det er ingen reell trussel, med mindre du logger deg inn på appen via din konto i sosiale medier (Facebook, Twitter osv.), eller du logger deg på med et passord som du bruker på andre kontoer.

Ta en titt på denne artikkelen for å sjekke hvilken Android-versjon som kjører på enheten din og iverksette nødvendige tiltak.

Windows og Windows Server

Microsoft beroliget utviklermiljøet i et innlegg på TechNet, og sier at deres operativsystem ikke er berørt av sikkerhetsbruddet. Et slag for Linux Server, som dominerer markedet hovedsakelig for sikkerheten de tilbyr.

«Microsoft Account, Microsoft Azure samt de fleste Microsoft-tjenestene ble ikke påvirket av OpenSSL-sårbarheten. Windows’ implementering av SSL/TLS ble heller ikke påvirket.

Vi ønsker også å forsikre våre kunder om at standardkonfigurasjoner for Windows ikke inneholder OpenSSL, og er ikke påvirket av dette sikkerhetsproblemet. Windows kommer med sitt eget krypteringssystem som kalles Secure Channel (også kjent som SChannel), som ikke er utsatt for Heartbleed-sårbarheten» [kilde].

Linux

Linux Server, som statistisk sett representerer 67 % av webserverne tilgjengelig via Internett, er hovedofferet for OpenSSL-feilen. I en artikkel datert 8. april fortelles det om krisens første øyeblikk hos Red Hat og andre Linux-leverandører. Artikkelen, som er tilgjengelig her, kommer også med anbefalinger for å sikre kryptering av data. Hvis du kjører en Linux-server og ikke har iverksatt tiltak ennå, er denne artikkelen obligatorisk lesning.

Hvordan håndterte IT-avdelingen krisen?

IT-avdelingen ble informert og fikk den korrigerte versjonen av OpenSSL lenge før nyheten ble offentliggjort, forklarer Leon Telander, teknologisjef for BetIT Group, i dette intervjuet. Så snart krypteringen var sikker, utførte de en grundig sjekk av aktivitetene på serveren for å avdekke eventuelle svakheter, men kunne fastslå at sikkerheten ikke var svekket.

Hva bør brukerne gjøre?

Sluttbrukere bør så snart som mulig oppdatere nettleserne sine samt e-postklientene (Outlook, Thunderbird osv.). Sjekk med dine ulike tjenesteleverandører om ting er fikset. Husk å bytte passord.

I etterkant

Heartbleed-krisen fungerte som en øyeåpner, og rettet oppmerksomheten mot manglende finansiering av åpen kildekode-prosjektet. Teknologigiganter som Facebook, Google og Amazon bestemte seg for å gi midler til en gren av Linux Foundation, Core Infrastructure Initiative, for å finansiere åpen kilde-prosjekter som har behov for det. Det første prosjektet er selvfølgelig OpenSSL [kilde]. Det er godt å se at konkurrenter samarbeider for å forbedre mye brukt åpen kildekode-verktøy, og dermed anerkjenner effektiviteten og nytten ved åpen kildekode-miljøet, men at de samtidig også erkjenner behovet for støtte for å sikre kodens kvalitet og sikkerhet.

Noe å legge til i denne saken? Del i kommentarfeltet nedenfor.

DelPaFB DelPaFB




Kommentarer: