Nekter å fortelle deg om sårbare nettsider

Det har gått halvannen uke siden den potensielt største sikkerhetssvakheten i internetts historie ble oppdaget, og en arbeidsuke siden den ble offentlig kjent.

I perioden fra den ble oppdaget til den ble kjent, ble det jobbet aktivt og høyst hemmelighetsfullt i kulissene for å få noe av nettets mest kritiske infrastruktur oppdatert. Mange av tjenestene du daglig er avhengig av, men aldri legger merke til, ble oppdatert. Det samme ble tjenester som Google og Facebook, mens andre giganter som Yahoo ble tatt på senga på mandag.

I Norge ble det først mye oppmerksomhet rundt feilen på onsdag, og det har vist seg at noen av nettets største aktører har vært rammet av feilen.

Utover at internasjonale giganter som Google, Facebook, Twitter, Netflix og Yahoo var rammet, har vi senere fått bekreftet at giganter som VG, Telenor, Norwegian og Finn har vært rammet.

Et betydelig antall nettsider

Omfanget av situasjonen i Norge både Norge og nettet generelt er derimot betydelig større.

- Det er laget oversikter som viser at rundt en halv million nettsider kan være rammet. Vi i Nasjonal sikkerhetsmyndighet (NSM) har sendt ut varsler til rundt 90 nettleverandører om flere tusen mulige sårbare tjenester, forteller senioringeniør Marie Moe på Operativ avdeling i NSM til Nettavisen.

I stor grad er det tjenester som tilbyr innlogging av forskjellig grad som er rammet.  Ifølge NSM har de ikke noen totaloversikt over hvordan situasjonen er.

- Vi har ikke noen oversikt over et totalt «nåbilde», siden vi ikke har noen mulighet til å ha oversikt over alt til enhver tid, men vi tilstreber jo å ha et så godt situasjonsbilde som mulig, forteller Moe.

Fokus på å varsle de med feil

NSM jobber hovedsakelig aktivt med å varsle aktører i faresonen.

- Det er aktørene som har ansvaret for å oppdatere sine tjenester, og så oppfordrer vi de aktivt til å varsle sine kunder når ting er oppdatert, sier Moe.

Det er ingen som vet i hvilken grad feilen har blitt utnyttet før den ble offentlig kjent denne uken, selv om den har eksistert i to år. Det som derimot er kjent er at det har vært enkelt å utnytte siden den gang.

NSM ønsker derimot ikke å gå ut med en liste over sårbare nettsider som fortsatt ikke har oppdatert seg.

- Antallet sårbare nettsider går kraftig nedover, og det er en stor vilje blant eierne til å oppdatere feilen, noe som også i de fleste tilfellene er veldig enkelt, sier Moe.

- Men ville det ikke vært greit å advare brukere om hvilke sider som ikke har gjort noe?

- Vi oppfordrer kraftig til å melde fra til brukerne etter at feilen er oppdatert, slik vi for eksempel har sett Telenor gjøre. Hvis vi ser at aktører ikke velger å gjøre dette, så må vi eventuelt gå ut med en liste, sier Moe.

Noe kan være vanskelig å oppdatere

En annen utfordring med Heartbleed-feilen som ikke er like mye omtalt, er at feilen ikke bare rammer nettsider, men også nettverksutstyr og såkalte «embedded» produkter. Dette kan være alt fra routere til minibanker, til strømmålere.

Nettverksgiganten Cisco har blant annet laget en lenger liste med utstyr som de frykter kan være rammet, alt fra routere til IP-telefoner til meldingstjenester til e-post-systemer. Særlig fysisk utstyr kan være en utfordring å oppgradere.

NSM har per i dag ikke noen oversikt over hva slags utstyr av denne typen som kan skape problemer.

PS! Nettavisen benytter ikke systemer som er utsatt for Heartbleed-feilen, og det gjør heller ikke Nettavisen-eide Blogg.no.