I løpet av de siste dagene har det kommet motstridende råd om å bytte passord som følge av Heartbleed-feilen i OpenSSL. Først ble alle bedt om å bytte passord, så skulle man vente litt og så igjen ba Telenor med flere om at alle brukere byttet passord med en gang. Så, hva blir det til? Skal du bytte passord eller ikke? Og i tilfelle hvorfor (ikke)?
Det som er helt sikkert er at du bør bytte passord på alle tjenester som har vært sårbar for Hearbleed-feilen. Men her er det snakk om timing. For det gjelder å treffe riktig. Du må gjøre det etter at tjenseteleverandøren har fikset feilen. Det er rimelig opplagt at hvis tjenesten fremdeles har sårbarheten, så vil et eventuelt nytt passord være like mye offer for Heartbleed som det gamle var. Du vil med andre ord ikke oppnå noen ting. Det som er verre er at ved å bytte passord (eller bare logge inn) på en sårbar tjeneste vil du øke muligheten for at passordet blir snappet opp av angripere.
Se for deg følgende: Du bruker en tjeneste som er sårbar for Heartbleed-feilen, men passordet ditt har aldri kommet på avveie (ingen angrep). Siden du ikke vet om passordet er trygt, velger du for sikkerhetsskyld å bytte passord på tjenesten. Samtidig, ved en datamaskin langt langt unna, sitter det en angriper og sender ondsinnede heartbeat-pakker til den samme tjenesten. Du logger på og skriver inn gammelt og nytt passord og tenker at du nå er trygg, mens passordet ditt (både nytt og gammelt) sendes til angriperen. Ved å bytte passord har du altså oppnådd at passordet ditt nå er komme på avveie…
Grunnen til dette er at Heartbleed kun kan gi en angriper tilgang til data lagret i minnet, ikke til data lagret på harddisk (i filer eller databaser). Så lenge Heartbleed-feilen ikke er fikset, må du derfor prøve å unngå at dine data blir lastet inn i minnet og dermed tilgjengelig for en mulig angriper. Hvordan gjør du det? Jo, ved å holde deg unna tjenesten. Så lenge du ikke kontakter tjenesten vil dine data ligge på harddisken og da kan i alle fall ikke nye angripere få tak i den (gjennom Heartbleed-feilen i hvert fall). Med de siste dagers medieoppmerksomhet er det all grunn til å tro at angripere sitter klar til å utnytte Heartbleed-feilen i tjenster som ikke er oppdatert ennå.
Dette var jo greit? Så hvordan vet du om en tjeneste har vært utsatt for Heartbleed, og i tilfelle om den er fikset? Det er neimen ikke så enkelt og det er et problem. Du kan bruke et verktøy for å sjekke tjenestene dine, men det er både tungvindt og upålitelig. Du kan også sjekke listene som blant annet NRK, VG og Mashable har laget over status til populære tjenester, men du har garantert konto hos noen upopulære tjenester også som ikke figurerer på disse listene.
I en ideell verden burde tjenesteleverandøren kontakte deg for å informere om sårbarheter og status på oppdateringen. I utgangspunktet er det de tjenestene som er eller har vært utsatt for Heartbleed som bør varsle sine bruker, men i og med at denne feilen omfatter så mange tjenester vil jeg mene at også tjenester som ikke er påvirket burde varsle om dette.
I følge listene til VG og NRK anbefaler blant annet Facebook, Dropbox og Telenor at brukerne bytter passord, uten at dette varsles på deres nettsider (På online.no bes brukere bytte passord). Som et absolutt minimum burde disse tjenestene varsle på egne nettsider om status og om passordbytte er anbefalt, men kanskje burde det også gå ut e-postvarsler i tillegg.
Heartbleed avslører ikke bare at programvaresikkerhet er viktig, men også at det er mange tjenestetilbydere som har litt å lære om hendelseshåndtering og varslingsrutiner. Kanskje på tide at vi brukere begynner å kreve bedre varsling?