Angående säkerhetsproblem med OpenSSL (Heartbleed, CVE-2014-0160)

På morgonen 2014-04-08 svensk tid släpptes en säkerhetsbulletin angående ett fel i en av internets grundsäkerhetssystem, OpenSSL som används av ca två tredjedelar av världens webservrar. Även ProReNata Journal har påverkats avd detta, men inte på något omfattande sätt. Mer information om säkerhetsproblemet Heartbleed hittar du här och till exempel på DN:s hemsida.

För användare

Som användare behöver du inte vidta några åtgärder. ProReNatas säkerhetsåtgärder (beskrivna nedan) gör att det inte är möjligt att stjäla lösenord eller utföra andra integritetsbrott på basen av den här buggen. ProReNata Journal har också ytterligare säkerhetsåtgärder i form av krypterad journaldata och inloggning med två faktorer. Din patientdata och inloggning är säker.

För tekniskt kunniga

För tekniskt kunniga kommer här en mer detaljerad förklaring av hur Heartbleed-buggen påverkar och inte påverkar ProReNata Journal och vad vi har vidtagit för åtgärder.

Som beskrivet på hemsidan så tillåter buggen att en förövare kan läsa serverns minne via speciella anrop. Felet är oerhört allvarligt och kan leda till att viktig information läses från serverns minne, så som lösenord, privat data och också själva certifikatet som används för SSL-krypteringen. Om en förövare kommer över den privata nyckeln för SSL-krypteringen kan de sedan utge sig för att vara den server som hade certifikatet från början för att utföra en så kallad Man-in-the-middle attack.

ProReNata Journal använder sig av Amazon Web Services för serverkapacitet. Specifikt använder vi oss av Amazon Web Services Elastic Load Balancers (ELB). ELB ligger som lastbalanserare och brandvägg framför våra applikationsservrar, som i sig inte har direktkontakt med internet. ELB var fram till igår morse känslig för Heartbleed-buggen, men uppdaterades omgående när buggen blev känd.

  • Eftersom ProReNatas applikationsservrar inte har direktkontakt med internet så har inte buggen gett någon åtkomst till applikationsservrarna, det finns ingen risk för att förövare ska ha kommit åt data på ProReNatas servrar via den här buggen.
  • Om en förövare kände till buggen innan den blev känd för allmänheten så finns det en möjlighet att de har kunnat läsa minnet i ELB-servern och därmed få åtkomst till ProReNats privata SSL-nyckel. Vi har ingen indikation på att det faktiskt har hänt, men kommer under dagen 2014-04-09 att byta ut vårt SSL-certifikat och återkalla det gamla.
  • Även med SSL-certifikatet så kan inte en förövare läsa tidigare inspelad trafik, vi använder oss av industristandard för kryptering, med bland annat Perfect Forward Secrecy vilket innebär att varje användarsession krypteras med egna nycklar.
Har du fler frågor? Skicka en förfrågan

0 Kommentarer

logga in för att lämna en kommentar.
Powered by Zendesk