Vänta – byt sen lösenord

I ett blogginlägg konstaterar bloggtjänsten Tumblr att vi internetanvändare har lärt oss att webbadresser som börjar med https är säkra. Den avslutande bokstaven står för secure och betyder att förbindelsen mellan webbläsaren i våra datorer och de webbplatser vi besöker är krypterad och därmed svår att avlyssna.

Men i ett dygn har Heartbleed stått högst på agendan för alla som bryr sig om säkerheten på internet. Heartbleed är namnet på en allvarlig bugg i OpenSSL, ett program som används för att kryptera trafiken till väldigt många servrar på nätet.

Buggen innebär att angripare bland annat har möjlighet att komma över användarnamn, lösenord, data som skickas och data som finns lagrad på servern.

Riktigt allvarligt, med andra ord. Internet Storm Center, som håller koll på hur skadlig kod används på nätet, är en av de organisationer som gått ut med en varning. Svenska CERT-SE, som ligger under Myndigheten för samhällsskydd och beredskap, är en annan som gjort samma sak.

Säkerhetsluckan i OpenSSL har funnits sedan 2011. Att utnyttja den för att försöka stjäla information lämnar inga spår. Därför går det inte att veta i vilken utsträckning luckan har utnyttjats.

För världens alla serveradministratörer har det sannolikt varit ett intensivt dygn, när de felaktiga versionerna av OpenSSL ersätts med den uppdaterade.

För oss vanliga användare är det bäst att avvakta – och sen byta lösenord på alla de tjänster vi brukar använda. Det finns åtminstone ett verktyg där det går att knappa in en webbadress för att testa om tjänsterna du brukar använda har fixat hålet eller inte. Är hålet tilltäppt, byt!

Men var också varsam. Jag får med jämna mellanrum mail med uppmaningar om att byta lösenord på diverse tjänster. 9 gånger av 10 är det försök att lura av mig mina inloggningsuppgifter. Sannolikt kommer vi få se många liknande försök i kölvattnet av Heartbleed. Klicka därför inte på några länkar i mail, utan gå direkt till de webbtjänster där du vill byta ditt lösenord.