Spør om sikkerhetshullet

En sårbarhet kalt «Heartbleed» i sikkerhetsprogramvaren OpenSSL ble oppdaget mandag. Sårbarheten blir omtalt som det største og alvorligste sikkerhetshullet på Internett på mange år. Lurer du på hva det betyr for deg? Det statlige sikkerhetsbyrået NorSIS stiller med sine eksperter tett på nett torsdag klokken 11.30!
182 Liker

Hvordan er det mulig

Innsendt av: Martin

Hvordan er det mulig at et sik sikkerhets hull kan komme frem? I dagens samfunn hvor alt styres via nett og pc-er føler jeg det er alt for dårlig at man ikke kan være sikre på at et nettsted skal kunne holde på dine opplysninger.

vi kan ikke la være og legge ut om privatlivene våre og da mener jeg at dette burde sikres på en bedre måte så slike ting ikke skjer igjen.
Det er veldig vanskelig, sannsynligvis umulig, å unngå alle sikkerhetshull. I dette tilfellet har de fleste leverandørene vært raske med å reagere og det er uvisst hva som blir konsekvensene av dette.

Det har også vært en del overreaksjoner i denne saken. Det er en veldig alvorlig svakhet, men ikke like alvorlig som mange har skrevet.

Med vennlig hilsen NorSIS
211 Liker

Vi bør vel roe oss litt nå

Innsendt av: Blip

Hvis jeg har forstått denne sikkerhetsbristen riktig, så er det minst en million andre og bedre grunner til at man bør bytte passord innimellom. Det er ikke slik mange tydeligvis tror, at tusenvis av passord er på avveie, eller er blitt hentet ut fra diverse servere. Det er kun krypteringen mellom sender og mottaker som ikke har fungert. Slike data blir sendt sikkert millioner av ganger uten kryptering hver eneste dag uansett. En som vil ha tak i disse passordene, må altså "koble seg inn på linja" og snappe opp trafikken som går mellom avsender og mottaker. Sortere ut masse data for så å finne det han er ute etter. F.eks. mailadresser og passord. Og nettbanker skal alltid nevnes. Disse bruker BankID som er sikkert som banken. Hele hysteriet synes jeg virker noe søkt, for å si det mildt...
Du har rett i at det ikke er snakk om at tusenvis av passord er på avveie, og ingen informasjon har blitt hentet ut fra nettsider og -tjenester. Det er dog ikke nødvendig å «koble seg inn på linja» mellom nettsiden og en bruker: Det er nok å «angripe» en nettside som er rammet av sikkerhetshullet, så vil man kunne hente ut små mengder informasjon som kan inneholde brukernavn og passord.

BankID og norske nettbanker er så vidt vi vet ikke rammet av denne feilen, og er derfor «sikre som banken». :)

Det kan diskuteres om media og sikkerhetseksperter har overdrevet, men faktum er at dette er et ytterst alvorlig sikkerhetshull som rammer (rammet) svært mange nettsider, inkludert mange av de mest populære. Det er absolutt verdt å ta det seriøst.

Med vennlig hilsen,
NorSIS
191 Liker

Hva slags sikkerhetshull?

Innsendt av: Kristoffer

Har lest på litt forskjellige steder nå, men det står ikke forklart hva feilen er. Har du så du kan fortelle hva selve feilen som forårsaket sikkerhetshullet er? Var det noen som var uforsiktige eller uheldige når de lagde OpenSSL som gjorde det tilgjengelig for de med tilgang til infrastrukturen å snappe ut den brukerinformasjonen som ble sendt, eller var dette noe som ble gjort med vilje?
Svakheten ligger i en utvidelse til SSL/TLS (protokollen som håndterer krypteringen). Under er en kort forklaring av feilen som har blitt gjort:

Klienten sender en beskjed til serveren, denne inneholder en blokk med data som serveren skal sende tilbake og et tall som beskriver lengden på den forrige blokken med data.

Når serveren skal svare klienten, så stoler den ukritisk på tallet som ble sendt fra klienten og sender derfor så mye data tilbake.

En angriper kan si at klienten sender veldig mye data, man faktisk sende veldig lite. Da vil serveren hente resterende data fra minne og sende interne data tilbake til angriperen.

Informasjonen i minne kan være veldig sensitiv eller så kan det bare være søppel, dette er helt tilfeldig.

Det er umulig å vite om denne svakheten ble lagt inn med vilje eller ikke, men man har ikke noen bevis på at det ble gjort med vilje. Det ser ut som noen bare var litt uforsiktige.

Med vennlig hilsen NorSIS
178 Liker

Passord online internett viaC anal Digital

Innsendt av: Ole J

Sameiet har internett og TV via Canal Digital.
Jeg har e-post på online.no
Bør jeg skifte passord ?
Som vi har svart på andre spørsmål er hovedanbefalingen til deg som sluttbruker å følge tipsene fra leverandøren.

Forøvrig har både VG og NRK artikler hvor de lister opp populære nettsider og hvorvidt de er trygge eller ikke:

http://www.vg.no/forbruker/teknologi/data-og-nett/sjekk-selv-disse..../10130483/
http://www.nrk.no/norge/telenor-ber-brukere-bytte-passord-1.11660579

Med vennlig hilsen,
NorSIS
194 Liker

Digipost

Innsendt av: Fred Magne Samuelsen

Hei
Må vi som bruker digipost endre passord?
MVH
Fred Magne
Som vi har svart på andre spørsmål er hovedanbefalingen til deg som sluttbruker å følge tipsene fra leverandøren.

Forøvrig har både VG og NRK artikler hvor de lister opp populære nettsider og hvorvidt de er trygge eller ikke:

http://www.vg.no/forbruker/teknologi/data-og-nett/sjekk-selv-disse..../10130483/
http://www.nrk.no/norge/telenor-ber-brukere-bytte-passord-1.11660579

Med vennlig hilsen,
NorSIS
187 Liker

Kjempeoppspinn!

Innsendt av: Dag

Det er oppspinn uten sidestykke, jeg kommer aldri til å bytte passord, og har hatt samme passord i 15 års tid. Og siden jeg ikke har sånne jævla kredittkort og handler ikke på nett så er jeg ikke i risk gruppa fordi mine personlige informasjon legger jeg aldri ut, jeg handler det jeg skal ha kun i butikk. Da er man ikke i risk gruppa da fordi jeg ikke engang har og vil ha sånt søppel som Facebook, Twitter og sosiale medier og sånt søppel!
Det å bruke samme passord overalt kan sammenlignes med å bruke én nøkkel som passer til huset ditt, bilen din, jobben, campingvogna, hytta og alle andre steder du trenger nøkkel for å komme deg inn. Hvis passordet i tillegg er kort og simpelt kan det sammenlignes med nøkler fra 60-tallet som passer i alle husets dører, dører som svært enkelt kan dirkes opp.

Med vennlig hilsen,
NorSIS
199 Liker

Frustrert!!

Innsendt av: Frustrert bruker!

Hvorfor lot dere dette bli ødelagt?! Der emå jo fikse slikt!



Hei

Desverre så er det slik at det vil alltid være en mulighet for at det finnes sikkerhetshull i velbrukte løsniner som OpenSSL er. Når de oppdages gjør leverandøren som regel det de kan for å finne en løsning.

Vi som sluttbrukere må være våkne og følge med på de nettjenestene vi benytter oss av og gjøre det vi kan for å ikke bli berørte av slike sikkerhetshull.

Med vennlig hilsen NorSIS
185 Liker

klienter

Innsendt av: Pu

Hva stopper noen fra å sende heartbeat forespørsler til tilfeldige datamaskiner som ikke kjører nettsider?
Protokollen og OpenSSL er implementert på en slik måte at dette ikke gir noen mening. Koden på server-siden og klient-siden er forskjellig og svakheten kan derfor ikke brukes mot klienter.

Med vennlig hilsen NorSIS
191 Liker

Mediaskapt masseforvirring!

Innsendt av: Marius

Altså, denne bugen som det er snakk om er ikke så farlig som alle skal ha det til. Ja, det skaper et problem om noen har suttet på et åpent WiFi nett og/eller lignende, der noen kan ha sniffet trafikken - men utenom dette så er det vel ikke så store problemer? Vet at bugen kan utnyttes til å hente ut minnet (det som ligger lagret på ram) til serveren som bruker OpenSSL, men i de fleste tilfeller blir det vel brukt en omfattende krypiteringsalgorytme ved lagring av passord? Ikke mange som bruker ren md5() lengre, håper jeg. Selv på våre sider så blir det benyttet sha1 (med flere) og tilfeldig generet salts osv. Burde ikke det være ganse safe da..?
Det har nok vært noen overdrevne overskrifter i denne saken. Dette er likevel en veldig alvorlig svakhet.

Det er ikke bare en problem hvis du er på et åpent trådløst nett. Serveren behandler passordene dine i klartekst og kan derfor ligge i minne i klartekst. Utnyttelse av svakheten krever også bare vanlig tilgang til serveren, som alle har.

I tillegg til dette kan angripere kanskje få ut veldig sensitiv informasjon, som private nøkler, disse kan brukes til å utgi seg for å være serveren. Som for eksempel på et trådløst nett.

Passordene er bare hashet (sha1 osv) når de er lagret i databasen, men de behandles i klartekst når bruker logger inn.

Med vennlig hilsen NorSIS
191 Liker

Trygg bank på nett?

Innsendt av: Ola Dunk

Kan jeg stole på banken min? Har uvedkommende hatt tilgang til mine data i nettbanken i to år ettersom sikkerhetshullet har vært der så enge?
De fleste banker har aldri vært rammet av svakheten, så nettbanken er ganske trygg.

Sårbarheten har eksistert i to år, men har kun vært offentlig kjent i et par dager. Det er uvisst om noen andre har hatt kjennskap til sårbarheten.

Med vennlig hilsen NorSIS
358 Liker

Ka i...

Innsendt av:

Hvordan kunne dette ikke hatt blitt oppdaget tidligere?
Det er lett å være etterpåklok i slike situasjoner, men det er umulig for oss å si hvorfor sikkerhetshullet ikke ble oppdaget tidligere. Kildekoden til OpenSSL er åpen, så hvem som helst kunne i utgangspunktet ha oppdaget sikkerhetshullet.

Med vennlig hilsen,
NorSIS
191 Liker

Hysteri

Innsendt av: Ole Anders

Jeg har mer tanken over at dette blir hysteri.

Det er jo nesten panikk over hele landet pga dette, hva med alle spillerne i påsken på The Gatering.

Og hvorfor bytte alle passordene......

Hvilke nettsteder er angrepet....

Facebook, Bank, Digipost, Altinn, Minid?????
Det er ikke nødvendig å bytte alle passordene, men det kan være lurt å bytte passord på nettsteder som har vært sårbare. Du kan se en god oversikt her:
http://www.vg.no/forbruker/teknologi/data-og-nett/sjekk-selv-disse..../10130483/

Det viktigste er at du følger tipsene du får fra leverandøren.

Med vennlig hilsen NorSIS
195 Liker

Hvorfor nå?

Innsendt av: Fredrik Rysstad Sannan

Hvor lenge har denne sikkerhetsbreachen eksistert? Hvis den har eksistert lenge, hvorfor ble den i så fall oppdaget så sent som nå?
Sikkerhetshullet har eksistert i litt over to år, men det er umulig for oss å si hvorfor det ikke ble oppdaget før nå.

Med vennlig hilsen,
NorSIS
193 Liker

kontonummer

Innsendt av: heihei

hei, eg har konto nummeret mitt lagra på en del sider som foreksempel, unibet. bør det slettes ?
Hei

Hvis leverandøren av en av de nettjenestene hvor du har lagret kontonummer hos melder ifra om at de er utsatt, så er det muligheter for at de kan også få tak i sensitiv informasjon som du har lagret på din konto.

Vi anbefaler at du sjekker opp og følger med på den informasjonen nettjenestene kommer med, og følger deres anbefalinger.

Med vennlig hilsen NorSIS
190 Liker

Oppspinn!!!

Innsendt av: Lars Henrik Jensen

Det hele er oppspinn, de som er i risikogruppen er de som har Altibox (Fiber) Eller som sitter på IP adresser som aldri byttes og som handler uten BankID på nett (mer enn 1 handel i uka).
Det du sier medfører ikke riktighet. Denne sikkerhetsfeilen rammer tjenestetilbydere (de som står bak nettsidene og -tjenestene), ikke vanlige brukere. Det er dermed irrelevant hvilken Internettleverandør du har og hvor ofte IP-adressen din byttes.

Med vennlig hilsen,
NorSIS
196 Liker

Katastrofe - nå igjen?

Innsendt av: Espen

Hvorfor skal vi ta dette mer alvorlig enn det som er vanlige katastrofeoverskrifter? Nå kan hackere ta over telefonen, nå kan ... Den reelle trusselen kan ligge lagt fra det aviser skrifter og jeg har til gode å se edruelige og gode faglige vurderinger i en norsk avis.
Det har vært litt katastrofeoversikter i denne saken. Hovedtipset i dette tilfellet er å følge instruksene du får fra leverandøren og være litt ekstra oppmerksom på kontoene dine i fremtiden.

Du kan også sjekke hvilke sider som er sårbare og unngå å logge inn på sider som er sårbare. Det er i tillegg lurt å bytte passord på sider som har vært sårbare, men som nå har blitt rettet.

Med vennlig hilsen NorSIS
173 Liker

Radius?

Innsendt av: Interressert

Hei.
Hvordan vil dette HeartBleed potensielt ramme for eksempel Radius servere som bruker sertifikater? Vil eiere av serverne måtte bytte server-sertifikat og vil det ramme oss brukere på noen måte? evt. at vi må få nye klientsertifikater?
Slike spørsmål er vanskelig for oss å svare på da vi ikke kjenner til hvordan sertifikatene du bruker ble generert.. Vi anbefaler derfor at du tar kontakt med leverandøren av sertifikatene dine, evt. leverandøren av serverne det gjelder.

Med vennlig hilsen,
NorSIS
190 Liker

Tidsperspektivet

Innsendt av: Ingvill

Hei, hvis sikkerhetshullet har vært der i to år, vil det da si at mennesker med uærlige hensikter allerede kan ha brukt dette "hullet" i to år? Da kan vel mye skade vært gjort allerede? Så så jeg at det var en som kalte det virus, er det virus eller er det en sikkerhetsglipp?
Sikkerhetshullet har vært der i to år, men de ble først offentlig kjent for noen dager siden.

Det er mulig at noen andre har funnet denne svakheten for lenge siden. Det er derfor mulig at svakheten har blitt utnyttet i lang tid. Dette er det umulig for oss å vite. Dette er også en av grunnene til at denne svakheten er så alvorlig.

Dette er et sikkerhetshull eller en sikkerhetsglipp. Ville ikke kalt dette virus.

Med vennlig hilsen NorSIS
187 Liker

Trygt

Innsendt av: Bekymret

Er det i det hele tat trygt å oppholde seg på denne siden, og sende spørsmål til dere, hvor jeg engang ikke trenger oppgi passord?
Ja.

Sikkerhetsfeilen gjør at informasjon som i utgangspunktet sendes kryptert og sikkert kan snappes opp av uvedkommende. På denne siden gir du ikke fra deg sensitive opplysninger, og ettersom du ikke må logge inn er det heller ingen fare for at noen får tak i brukernavnet og passordet ditt.

Med vennlig hilsen,
NorSIS
198 Liker

usikker på disse:

Innsendt av:

Jeg har nå byttet passord på Dplay (tvnorge), tv 2 sumo, viaplay og netflix…
Må jeg bytte passord en gang til på disse? Er de sikker?
Som vi har svart på andre spørsmål er hovedanbefalingen til deg som sluttbruker å følge tipsene fra leverandøren.

Forøvrig har både VG og NRK artikler hvor de lister opp populære nettsider og hvorvidt de er trygge eller ikke:

http://www.vg.no/forbruker/teknologi/data-og-nett/sjekk-selv-disse..../10130483/
http://www.nrk.no/norge/telenor-ber-brukere-bytte-passord-1.11660579

Med vennlig hilsen,
NorSIS
182 Liker

Bytting av passord litt overdrevet?

Innsendt av: Geir

Det er vel fortsatt ingen beviser for at sikkerhetshullet har blitt utnyttet - er det ikke derfor litt i overkant drastisk å be hele verden bytte alle passord? Bytting av passord pleier ofte å medføre at nytt passord blir notert ned både på lapper og digitalt, og er gjerne derfor en større fare..
Hei
Det er for oss kjent ikke blitt offentliggjort noen beviser hvorvidt sikkerhetshullet er blitt utnyttet.

Det kan være greit å bytte passord på tjenester du vet har vært utsatt og som har blitt rettet nå. Hovedanbefalingen til deg som sluttbruker er å følge tipsene fra leverandøren av tjenesten. Hvis de ber deg bytte passord, så bør du bytte passord.

Du trenger med andre ord ikke å bytte passord på alle tjenester du benytter deg av.

Med vennlig hilsen NorSIS
186 Liker

hva gjelder dette?

Innsendt av: Brede

Gjelder dette alt fra facebook til nettbank eller gjelder det bare spesifikke nettadresser??
Sikkerhetshullet rammer alle nettsider som benytter «feil» versjon av et verktøy med navn OpenSSL.

Som vi har svart på andre spørsmål er hovedanbefalingen til deg som sluttbruker å følge tipsene fra leverandøren.

Forøvrig har både VG og NRK artikler hvor de lister opp populære nettsider og hvorvidt de er trygge eller ikke:

http://www.vg.no/forbruker/teknologi/data-og-nett/sjekk-selv-disse..../10130483/
http://www.nrk.no/norge/telenor-ber-brukere-bytte-passord-1.11660579

Med vennlig hilsen,
NorSIS
189 Liker

Hva må endres - hva kan man la være?

Innsendt av: Nicopedus

Jeg har 50-60 brukernavn og passord til forskjellige pålogginger. Fra onlinespill, netthandler, nettaviser, diverse forum, banker, skoler osv. osv. osv. Må jeg endre dem alle???? Hva med Nettbank med kodebrikke? Den er vel trygg?

Alvorlighetsgraden gjør at jeg må forøvrig spørre om hvem som har skyld her. Og hvem som fører kontroll..
Som vi har svart på andre spørsmål er hovedanbefalingen til deg som sluttbruker å følge tipsene fra leverandøren.

Forøvrig har både VG og NRK artikler hvor de lister opp populære nettsider og hvorvidt de er trygge eller ikke:

http://www.vg.no/forbruker/teknologi/data-og-nett/sjekk-selv-disse..../10130483/
http://www.nrk.no/norge/telenor-ber-brukere-bytte-passord-1.11660579

Med vennlig hilsen,
NorSIS
180 Liker

Ipad

Innsendt av:

Hva med iPad og nettbank hvor jeg kun bruker 4 siffer for å logge inn ?
Så vidt vi vet er ikke BankID og norske nettbanker rammet av dette sikkerhetshullet.

Forøvrig har både VG og NRK artikler hvor de lister opp populære nettsider og hvorvidt de er trygge eller ikke:

http://www.vg.no/forbruker/teknologi/data-og-nett/sjekk-selv-disse..../10130483/
http://www.nrk.no/norge/telenor-ber-brukere-bytte-passord-1.11660579

Med vennlig hilsen,
NorSIS
195 Liker

Nettbank og iPad

Innsendt av:

Bruker jo kun 4 siffer for å logge inn. Er dette et problem ?
Så vidt vi vet er ikke BankID og norske nettbanker rammet av dette sikkerhetshullet.

Som vi har svart på andre spørsmål er hovedanbefalingen til deg som sluttbruker å følge tipsene fra leverandøren.

Forøvrig har både VG og NRK artikler hvor de lister opp populære nettsider og hvorvidt de er trygge eller ikke:

http://www.vg.no/forbruker/teknologi/data-og-nett/sjekk-selv-disse..../10130483/
http://www.nrk.no/norge/telenor-ber-brukere-bytte-passord-1.11660579

Med vennlig hilsen,
NorSIS
178 Liker

byttepasord

Innsendt av:

Må jeg bytte passord til nettbanken
Så vidt vi vet er ikke BankID og norske nettbanker rammet at dette sikkerhetshullet.

Forøvrig har både VG og NRK artikler hvor de lister opp populære nettsider og hvorvidt de er trygge eller ikke:

http://www.vg.no/forbruker/teknologi/data-og-nett/sjekk-selv-disse..../10130483/
http://www.nrk.no/norge/telenor-ber-brukere-bytte-passord-1.11660579

Med vennlig hilsen,
NorSIS
199 Liker

Passord eller hash av passord

Innsendt av: Robert Pedersen

Hva er det man potensielt har fått tak i? Passordet eller den hashede utgaven av passordet? Begge to er jo alvorlig, men dersom de har passordet i klartekst er det jo langt mer alvorlig for brukerne.
Passordet kan potensielt ligge i klartekst i minnet på serveren før det hashes og en angriper kan derfor muligens få tilgang til passordet i klartekst.

Med vennlig hilsen NorSIS
195 Liker

Skype

Innsendt av: Karoline

Burde jeg endre skype passord? Det er jo i tillegg veldig lett å finne ut ip-adresser til personer via tjenesten, og enda enklere om de kommser seg inn på brukeren.
Som vi har svart på andre spørsmål er hovedanbefalingen til deg som sluttbruker å følge tipsene fra leverandøren.

Forøvrig har både VG og NRK artikler hvor de lister opp populære nettsider og hvorvidt de er trygge eller ikke:

http://www.vg.no/forbruker/teknologi/data-og-nett/sjekk-selv-disse..../10130483/
http://www.nrk.no/norge/telenor-ber-brukere-bytte-passord-1.11660579

Med vennlig hilsen,
NorSIS
187 Liker

Kan nettlesere rapportere hvorvidt en "sikker kobling" anvender OpenSSL?

Innsendt av: Tormod Steinsholt

Hei.

Jeg ser for meg at det er mange billigløsninger hvor web server benytter OpenSSL og at det kan være mange forumsider / private nettbutikker ol hvor det kan ta tid før dette sikkerhetshulet tettes. Mange steder er det ikke sikkert at det finnes support avtaler eller teknisk kompetanse hos eier av domener.
Vil Chrome/IE/Firefox/Opera kunne detektere at web server benytter OpenSSL og la være å vise "hengelås" tegnet for sikker kobling (evt vise advarsel)?

Kommer det noe sentralt nettsted i Norge hvor det kommer frem hvilke store aktører io norge (Telenor, banker, forsikring, OBX, altinn, lovdata osv) som har benyttet OpenSSL ila de siste to år og som i ettertid har tettet hullet?
Det er ikke noen god måte å vise dette på. Det du kan gjøre er å sjekke om sider du besøker, er sårbare og varsle leverandøren hvis de er sårbare. Du kan sjekke sider på denne siden: http://filippo.io/Heartbleed

Med vennlig hilsen NorSIS
193 Liker

Troverdigheten til åpen kildekode

Innsendt av: Glenn

Tror dere troverdigheten til åpen kildekode som OpenSSL blir svekket nå etter at dette ble kjent?
Sikkerhetshullet ble oppdaget av uavhengige sikkerhetsforskere fra Google og Codenomicon, ikke av OpenSSL selv. Dette hadde ikke vært mulig hvis kildekoden var lukket.

Man kan spørre seg om sikkerhetshullet hadde oppstått i første omgang hvis kildekoden var lukket, men det blir ren spekulasjon.

Med vennlig hilsen,
NorSIS
191 Liker

Bank

Innsendt av: Arne Antonsen

Må jeg skifte passordet mitt i nettbank-innloggingen også? Brukes denne innloggingsmetoden der når jeg logger inn med BankID?
Som vi har svart på andre spørsmål er hovedanbefalingen til deg som sluttbruker å følge tipsene fra leverandøren.

Hvis din bank gir beskjed om å skifte passord, så bør du følge deres anbefaling.

Forøvrig har både VG og NRK artikler hvor de lister opp populære nettsider og hvorvidt de er trygge eller ikke:

http://www.vg.no/forbruker/teknologi/data-og-nett/sjekk-selv-disse..../10130483/
http://www.nrk.no/norge/telenor-ber-brukere-bytte-passord-1.11660579

Med vennlig hilsen NorSIS
180 Liker

Twitter

Innsendt av: Karoline

Vil det hjelpe å bytte passord på twitter, selv om feilen ikke er fikset/funnet?

Burde jeg gjøre dette?
Twitter har ikke vært rammet av svakheten, i det hele tatt. Trenger ikke å bytte passord der.

Med vennlig hilsen NorSIS
186 Liker

Nettbank?

Innsendt av: Meg

Hva med passord i nettbankene? Bør de byttes?
Som vi har svart på andre spørsmål er hovedanbefalingen til deg som sluttbruker å følge tipsene fra leverandøren.

Forøvrig har både VG og NRK artikler hvor de lister opp populære nettsider og hvorvidt de er trygge eller ikke:

http://www.vg.no/forbruker/teknologi/data-og-nett/sjekk-selv-disse..../10130483/
http://www.nrk.no/norge/telenor-ber-brukere-bytte-passord-1.11660579

Med vennlig hilsen,
NorSIS
188 Liker

Byttet igår

Innsendt av: Suleman

Hei har byttet passord igår kveld kl 21:00 bla facebook, gmail osv.... trenger jeg skfite passord igjen?
Som vi har svart på andre spørsmål er hovedanbefalingen til deg som sluttbruker å følge tipsene fra leverandøren.

Forøvrig har både VG og NRK artikler hvor de lister opp populære nettsider og hvorvidt de er trygge eller ikke:

http://www.vg.no/forbruker/teknologi/data-og-nett/sjekk-selv-disse..../10130483/
http://www.nrk.no/norge/telenor-ber-brukere-bytte-passord-1.11660579

Med vennlig hilsen,
NorSIS
194 Liker

Hvilke passord?

Innsendt av: Leah

Hva skal jeg bytte passord på? Jeg har DJuice abonnement.
Hva med facebook?
Som vi har svart på andre spørsmål er hovedanbefalingen til deg som sluttbruker å følge tipsene fra leverandøren.

Forøvrig har både VG og NRK artikler hvor de lister opp populære nettsider og hvorvidt de er trygge eller ikke:

http://www.vg.no/forbruker/teknologi/data-og-nett/sjekk-selv-disse..../10130483/
http://www.nrk.no/norge/telenor-ber-brukere-bytte-passord-1.11660579

Med vennlig hilsen,
NorSIS
191 Liker

Messenger

Innsendt av: Kine

Hva med messenger-tjenester som "Kik"?
Som vi har svart på andre spørsmål er hovedanbefalingen til deg som sluttbruker å følge tipsene fra leverandøren.

Både VG og NRK har artikler hvor de lister opp populære nettsider og hvorvidt de er trygge eller ikke:

http://www.vg.no/forbruker/teknologi/data-og-nett/sjekk-selv-disse..../10130483/
http://www.nrk.no/norge/telenor-ber-brukere-bytte-passord-1.11660579

Med vennlig hilsen NorSIS
187 Liker

Bytte av passord

Innsendt av: Astrid

Danske Banks nettbank og Finn.no, må det byttes der?
Både VG og NRK har artikler hvor de lister opp populære nettsider og hvorvidt de er trygge eller ikke:

http://www.vg.no/forbruker/teknologi/data-og-nett/sjekk-selv-disse..../10130483/
http://www.nrk.no/norge/telenor-ber-brukere-bytte-passord-1.11660579

Med vennlig hilsen NorSIS
193 Liker

Passord

Innsendt av:

Vil man få beskjed om hvilke nettsider det er nødvendig og bytte passord på?
Vi har fokusert på at leverandører må oppdatere og finne ut om brukere må skifte passord.

Det er opp til nettsiden, om de sender ut varsler, eller ikke. Flere nettsider har sendt ut informasjon om at brukere må skifte passord, men man kan ikke være sikker på at alle tar dette ansvaret.

Både VG og NRK har artikler hvor de lister opp populære nettsider og hvorvidt de er trygge eller ikke:

http://www.vg.no/forbruker/teknologi/data-og-nett/sjekk-selv-disse..../10130483/
http://www.nrk.no/norge/telenor-ber-brukere-bytte-passord-1.11660579

Med vennlig hilsen NorSIS
172 Liker

Skal vi endre passord for Hotmail,yahoo og gmail?

Innsendt av:

Skal vi endre passord som er for hotmail, yahoo og gmail? Vennligst svar i ja eller nei. Takk og ha en fin dag videre.
Som vi har svart på andre spørsmål er hovedanbefalingen til deg som sluttbruker å følge tipsene fra leverandøren. Hvis Microsoft (Hotmail), Yahoo og Google (Gmail) ber deg bytte passord, så bør du bytte passord.

Både VG og NRK har artikler hvor de lister opp populære nettsider og hvorvidt de er trygge eller ikke:

http://www.vg.no/forbruker/teknologi/data-og-nett/sjekk-selv-disse..../10130483/
http://www.nrk.no/norge/telenor-ber-brukere-bytte-passord-1.11660579

Med vennlig hilsen,
NorSIS
191 Liker

Allerede skiftet i går

Innsendt av: Terje Johan Hansen

Vi var raske å skiftet i går. Det skulle vi tydeligvis ikke har gjort. Betyr det nå at alt må gjøres om igjen og lage enda nye passord?
Hvis dere byttet passord hos en tjeneste før tjenesten selv fikset problemet, må dere bytte passord på nytt. Vi anbefaler derfor å følge instruksene fra leverandøren av tjenestene, og bytte passord når de gir klarsignal.

Med vennlig hilsen,
NorSIS
181 Liker

hvilke passord bør byttes?

Innsendt av: jørgen stensland

Hei! Man har jo etter hvert mange passord. Hvilke bør byttes?
epost? Datamaskiner? Kodebrikke i banken? Diverse nettsteder som krever koder (nettaviser, onlineeposttjenester etc)
Det kan være greit å bytte passord på tjenester du vet har vært utsatt og som har blitt rettet nå. Hovedanbefalingen til deg som sluttbruker er å følge tipsene fra leverandøren av tjenesten. Hvis de ber deg bytte passord, så bør du bytte passord.

Det gjelder dog kun nettsider hvor du er registert med brukernavn og passord. Det er ikke nødvendig å bytte passord på datamaskinen eller smarttelefonen din.

Med vennlig hilsen,
NorSIS
188 Liker

Konsekvensen av å ikke bytte passord.

Innsendt av: ...

Hva er konsekvensene av å ikke bytte passord, jeg er en av de som bruker samme passord på så å si alt av det jeg logger meg inn, om det er nettbank eller facebook, eller annet. som email og youtube.

Hva betyr dette? vil det være stor mulighet for å bli hacket og miste tillgangen til flere av tjenestene? og hvem er i risikononen?

Er det noen andre tilltak man bør gjøre?
Det er en veldig dårlig idé å bruke samme passord på alle nettsider du er registert på. Hvis uvedkommende får tak i passordet ditt fra en av nettsidene, vil de enkelt kunne ta over alle de andre kontoene dine.

Du bør følge rådene fra leverandøren av tjenestene du benytter. Hvis de ber deg bytte passord, så bør du bytte passord.

Med vennlig hilsen,
NorSIS
185 Liker

Mac/Skal jeg endre passord?

Innsendt av: Rachel

Bruker Mac. Bør jeg endre event. passord nå, vente, eller ikke endre?
Det kan være greit å bytte på tjenester du vet har vært utsatt og som har blitt rettet nå. Hovedanbefalingen til deg som sluttbruker er å følge tipsene fra leverandøren. Hvis de ber deg bytte passord, så bør du bytte passord.

Det har heller ikke noe å si om du bruker Mac eller Windows, svakheten er rettet mot serversiden. Du kan bare bli indirekte rammet.

Med vennlig hilsen NorSIS
191 Liker

Hotmail.

Innsendt av: Siv

Heisann! Fikk beskjed for noen dager siden på hotmail.com om at de ville sende sikkerhetskode til min g-mail. Jeg hadde 5 innlogginger på hotmail før jeg måtte gjøre det, så gjorde jeg dette idag, men dette har vel ingenting med Heartbleed viruset å gjøre...?
Hotmail er ikke rammet, så dette er nok ikke relatert til Heartbleed.

Med vennlig hilsen NorSIS
202 Liker

webmail

Innsendt av: skeptisk

er tjenester av typen webmail rammet. f.eks Outlook webmail
Som vi har svart på andre spørsmål er hovedanbefalingen til deg som sluttbruker å følge tipsene fra leverandøren. Hvis Microsoft (Outlook.com) ber deg bytte passord, så bør du bytte passord.

Med vennlig hilsen,
NorSIS
356 Liker

HJELP

Innsendt av: Sjefen

Er League of Legends og World of Warcraft rammet?
Hei
Hvis League of Legends og WoW ber deg om å skifte passord, bør du følge deres anbefalinger.
Det er derfor lurt å sjekke ut og følge med på pressemeldinger de selskapene kommer med.

Med vennlig hilsen NorSIS
191 Liker

Lagrede passord - ikke logget inn på nytt siste to dager

Innsendt av:

Hva om man ikke har logget seg på f.eks. Gmail kontoen de to siste dagene, men brukt tjenesten, da den ligger med automatisk innlogg i min webbrowser. Må man da bytte passord?
Feilen har eksistert i to år, så med mindre du ikke har logget inn på over to år bør du bytte passord, hvis det er det leverandøren av tjenesten anbefaler deg å gjøre.

Med vennlig hilsen,
NorSIS
198 Liker

Konsekvenser?

Innsendt av:

Hvilke følger kan det få dersom man opplever "innbrudd" i kontoer. Er det andre ting utover identitestyveri - mailer ut og annet? Kan man risikere at de skifter passordet slik at man selv ikke kan komme inn?
Hvis uvedkommende får tilgang til kontoen din kan man risikere at de endrer passordet slik at du blir sperret ute. Mange nettsider tilbyr ekstra sikkerhetsfunksjoner som to-faktor autentisering, hvor du f.eks. må taste inn en kode fra telefonen din før du får logge på. Dette gjør at uvedkommende ikke kan logge inn på kontoen din selv om de kjenner passordet ditt.

Med vennlig hilsen,
NorSIS
183 Liker

Hvordan?

Innsendt av: Reiten

Hvordan vet jeg om at jeg bruker server OpenSSL 1.0.1.
OpenSSL brukes kun på servere, så med mindre du drifter en nettside på en egen server bruker du ikke OpenSSL. Hvordan du finner ut hvilken versjon du evt. har kan du lese mer om her: http://www.madboa.com/geek/openssl/#intro-version

Med vennlig hilsen,
NorSIS
184 Liker

Mediaskapt paranoia?

Innsendt av: Thomas

Er ikke dette mediaskapt paranoia? Det er aldri garantier for at ikke hackere kan få tak i passord på nettet, men vi kan ikke drive og bytte passord hver gang det er såkalt 'fare'. Hvorfor skape slik unødvendig frykt hos 1 million+ norske nettbrukere? Er det ikke viktigere å påpeke viktigheten av å ha oppdatert brannmur på pc-en, anti-virus, anti-spyware osv?
Hei
Det stemmer at man aldri har garantier for at hackere får tak i ditt passord. Men det som gjør denne hendelsen spesiell er at det er mange tjenester og nettsider som benytter seg av OpenSSL.

Vi ønsker ikke å skape unødvendig frykt, men at brukere av disse tjenestene sikrer seg best mulig mot sårbarheter. Det er derfor vi og flere anbefaler å skifte passord på de utsatte tjenestene.

Det er flott at du nevner andre sikringsmidler som brannmur, anti-virus osv. Det er forsatt viktig og ha andre måter å sikre seg på, men for å best mulig sikre mot dette sikkerhetshullet bør man skifte passord på de utsatte tjenestene og nettsidene.

Med vennlig hilsen NorSIS
180 Liker

Playstation

Innsendt av: Peter Tron

Er playstation trygg?
Hvis Sony ber deg bytte passord på PlayStation Network, bør du følge deres anbefaling. Sony har så langt ikke sagt noe om hvorvidt deres tjenester er trygge eller ikke, men ubekreftede meldinger tyder på at PlayStation Network ikke er rammet.

Med vennlig hilsen,
NorSIS
182 Liker

IDS

Innsendt av: Pål

Er det mulig å stoppe utnyttelsen av denne svakheten ved at det benyttes en IDS foran SSL-serveren, som da stanser den trafikken som utnytter sikkerhetshullet? Burde i såfall ikke dette være første prioritet for tjenestetilbyderne?
Det er mulig å oppdage angrepet ved å bruke IDS, da den har en litt unik signatur. Dette er nyttig som ekstra sikkerhet, men når en rettelse eksisterer så er det en bedre løsning. Dette stopper angrepet helt.

Med vennlig hilsen NorSIS
200 Liker

steam

Innsendt av: Aksel

er det viktig å bytte passord på sider som steampowered?
Det kan være greit å bytte passord på tjenester du vet har vært utsatt og som har blitt rettet nå. Hovedanbefalingen til deg som sluttbruker er å følge tipsene fra leverandøren. Hvis de ber deg bytte passord, så bør du bytte passord.

Med vennlig hilsen,
NorSIS
190 Liker

Bytte av passord

Innsendt av: Aina

Det anbefales å vente med å bytte passord til nettsidene har oppgradert. Hvordan vet man hvilke som har gjort det og ikke?
De fleste nettjenester sier selv ifra når de har sikret systemene sine og når brukere bør bytte passord. Hvis du ikke hører noe kan du bruke dette verktøyet for å se om nettsiden er rammet av sikkerhetsfeilen: http://filippo.io/Heartbleed/

Med vennlig hilsen.
NorSIS
187 Liker

Vente med nytt passord til servere er oppdatert?

Innsendt av: Nils Erik

Det tar vel tid før diverse firmaer og tjenester på internett får oppdatert og rettet SSL-bibliotekene sine, og/eller sikret sine servere på annen måte. Bør vi vente med å endre passord til dette er gjennomført? Hvis ikke risikerer vi vel å måtte bytte passord om noen dager igjen?
De fleste store firmaer har nå rettet opp i svakheten, men det er vanskelig å vite hvem som har rettet opp svakheten.

Som du sier, så vil det ikke hjelpe å bytte passord på en server som er svak. Derfor er det viktig at man i hovedsak, følger instruksene man får fra leverandøren.

Med vennlig hilsen NorSIS
369 Liker

Hva er sjansen.......

Innsendt av: Lennart Novsjø

Hva er sjanse for at de finner akkurat meg blant alle de millioner av brukere og kunder?
Sjansen for at noen identifiserer akkurat deg er ikke veldig stor, men vi anbefaler likevel å følge instruksene fra leverandørene av nettsidene du er registrert på. Bytt passord hvis de ber deg om å gjøre det.

Med vennlig hilsen,
NorSIS
385 Liker

Hvordan?!

Innsendt av:

Hvordan ble sikkerhetshullet satt løst, og hvordan ble den oppdaget?
Hei
Som vi har svart tidligere så ble det oppdaget uavhengig av sikkerhetsforskere fra Google og Codenomicon.

Du kan bli indirekte påvirket ved at en tjeneste du bruker, lekker informasjon om din konto.

mvh NorSIS
179 Liker

Bank id

Innsendt av:

Når man må bruke bank id i tillegg til personleg passord er det da noe risiko.
De fleste nettbanker har ikke vært rammet av svakheten, så det er veldig liten sannsynlighet for at nettbanken din blir rammet.

To-faktor autentisering, som man har med BankID, vil også hjelpe mye mot denne svakheten.

Med vennlig hilsen NorSIS
368 Liker

passord

Innsendt av: Frans den Late!

må jeg bytte passord det er stress....
Hei
Vi forstår at det er stress å skifte passord, men for å best mulig sikre at du ikke blir berørt av denne hendelsen ytterligere bør du bytte passord på de nettsidene som gir deg beskjed om å skifte passord.


Med vennlig hilsen NorSIS
190 Liker

Heartbleed oppdaget, farlig?

Innsendt av: Myhre

Hvordan ble Heartbleed oppdaget? Hva er det som gjør det så farlig?

Er det mulilg at jeg her blitt påvirket av det?
Det ble oppdaget uavhengig av sikkerhetsforskere fra Google og Codenomicon.

Det som gjør svakheten farlig, er at det er veldig mange som bruker OpenSSL biblioteket, svakheten er lett å utnytte og veldig sensitiv informasjon kan bli avslørt.

Du er ikke direkte påvirket med mindre du har en server som bruker OpenSSL 1.0.1. Dette er det tjenestetilbydere som har.

Du kan bli indirekte påvirket ved at en tjeneste du bruker, lekker informasjon om din konto.

Med vennlig hilsen NorSIS

Tidligere intervjuer

Uke 47: Eksperten svarer

Uke 47: Eksperten svarer

SPESIALTILBUD TIL ABONNENTER AV DINE PENGER+ ABONNENTER: Hver uke kan du få svar på spørsmål i nettmøter med Hallgeir Kvadsheim. Du kan spørre om hva du vil innen privatøkonomi: sparing, skatt, aksjer, forsikring, fond, lån og renter, arv, boligjus, samlivsjus med mer. Det er bare abonnenter på DINE PENGER+ som kan lese svarene, men alle kan stille spørsmål. (PS: Husk at spørsmålene og svarene kan leses av flere, så ikke legg inn private detaljer)
Uke 46: Eksperten svarer

Uke 46: Eksperten svarer

SPESIALTILBUD TIL ABONNENTER AV DINE PENGER+ ABONNENTER: Hver uke kan du få svar på spørsmål i nettmøter med Hallgeir Kvadsheim. Du kan spørre om hva du vil innen privatøkonomi: sparing, skatt, aksjer, forsikring, fond, lån og renter, arv, boligjus, samlivsjus med mer. Det er bare abonnenter på DINE PENGER+ som kan lese svarene, men alle kan stille spørsmål. (PS: Husk at spørsmålene og svarene kan leses av flere, så ikke legg inn private detaljer)
Uke 45: Eksperten svarer

Uke 45: Eksperten svarer

SPESIALTILBUD TIL ABONNENTER AV DINE PENGER+ ABONNENTER: Hver uke kan du få svar på spørsmål i nettmøter med Hallgeir Kvadsheim. Du kan spørre om hva du vil innen privatøkonomi: sparing, skatt, aksjer, forsikring, fond, lån og renter, arv, boligjus, samlivsjus med mer. Det er bare abonnenter på DINE PENGER+ som kan lese svarene, men alle kan stille spørsmål. (PS: Husk at spørsmålene og svarene kan leses av flere, så ikke legg inn private detaljer)

Faste spaltister