(Bilde: Shutterstock/heartbleed)

Derfor ble Heartbleed en sikkerhetskrise

Nettet vil aldri bli 100 prosent sikkert.

Den alvorlige feilen i sikkerhetsprogrammet OpenSSL har fått massiv mediedekning det siste døgnet. Bruddet omtales som nettets største sikkerhetsfeil noensinne, og kan ha rammet så mange som to tredjedeler av verdens nettjenester.

Det alle nå frykter, er at ondsinnede crackere kan ha hentet ut sensitive opplysninger de siste to årene. Fra de sosiale nettverkene som Facebook, fra mobiloperatørene og fra andre tjenester på nettet vi bruker i hverdagen.

Men hvordan kan det skje i 2014, at vi plutselig sitter i den situasjonen at nesten alt vi gjør på nett ikke lenger er så trygt som vi trodde. Burde det ikke være sikkert allerede? Burde ikke noen ha oppdaget dette før? Og hvem er egentlig ansvarlig?

Tro det eller ei:
Sikre passord er de letteste å huske »

Populær teknologi

OpenSSL er en populær sikkerhetsteknologi som gjør at du kan bruke en nettside, og trygt sende over sensitive opplysninger som kredittkortinformasjon og passord.

Når du besøker en sikker nettside som bruker slik teknologi vil du se at nettadressen starter med https://, altså med en s. I tillegg vil mange nettlesere legge inn et eget symbol i adressefeltet som forteller at koblingen er sikker.

Siden teknologien er gratis og har vært ansett som veldig trygg, har den blitt tatt i bruk av de aller fleste som driver nettsider.

Nå har det som verst tenkelige skjedd – teknologien som skulle beskytte oss mot crackerne, har hatt et stort og gapende hull i seg som gjør det mulig å fange opp de sensitive opplysningene den skulle passe på.

Heldigvis har skaperne av OpenSSL har lagt ut en oppdatering som skal lukke hullet, og nå jobber nettsider verden over med å oppdatere nettsidene sine med den fiksede versjonen.

Problemet for deg som bruker er at OpenSSL også brukes i alle mulige sammenhenger – til nettverksutstyr, programvare og mye mer. Utviklere må oppdatere programvaren sin, og så må produsentene av utstyr som bruker programvaren rulle ut oppdateringer, som brukeren igjen må laste ned og installere. Det kan altså ta lang tid før alle hullene er lukket.

I mellomtiden står en hel verdens sensitive opplysninger i fare.

Feil skjer hele tiden

Sannheten er at sikkerhetsfeil som kan sette opplysningene dine i fare blir avdekket mer eller mindre konstant. Nettsider hackes, og sikkerhetshull i nettleseren og programvaren din blir oppdaget hele tiden og gjerne hver dag. Og det lever vi helt fint med, fordi sikkerhetsbransjen og programvareutviklerne jobber hver dag for å oppdage og lukke sikkerhetshull.

Det er nemlig slik at det ikke finnes programvare som er 100 prosent sikker. Programvare er laget av mennesker, og mennesker gjør feil; av og til fordi vi mangler kompetanse, men som oftest er det med uhell eller uvitenhet. Selv om de store IT-selskapene gjerne har mange hundre mennesker ansatt i sikkerhetsavdelingen, er det vanskelig å oppdage et problem man ikke aner at eksisterer, eller kan eksistere.

I tillegg er programvare normalt uhyre komplekse verk. En liten tastefeil blant millioner av tegn kan ofte være akkurat det en ond cracker trenger.

Har vokst seg stor

I teorien skal det altså lite til før man står med et sikkerhetshull i hendene, bare det oppdages, men det er flere grunner til at det feilen i OpenSSL er såpass alvorlig.

Den første grunnen er at alt som er stort på nett, er et attraktivt mål for crackere på nett – det gir rett og slett mer igjen for strevet.

OpenSSL brukes av veldig mange, om om en cracker oppdaget sikkerhetshullet for 2 år siden – og det eksisterte for 2 år siden – ville han eller henne virkelig ha truffet gull. Avkastningen på timene investert er potensielt enorm, og nettopp derfor er de mest brukte programmene på nett attraktive mål for crackere. Det sier seg derfor selv at OpenSSL er et attraktivt mål.

Heldigvis finnes det en annen universal regel på nett som motvirker dette: Alt som er stort blir passet på, og når noe har eksistert så lenge som OpenSSL er sannsynligheten for at nye sikkerhetshull dukker opp liten. Feilen som ble oppdaget ligger tross alt i en av de nyeste funksjonene til OpenSSL – selve kjernen er like trygg som før.

Men på ett eller annet punkt vil én av de to kreftene, de onde og de gode, slå igjennom. Hvem som vant denne gangen vet vi egentlig ikke, og det får vi aldri vite. 

Et særskilt ille problem

Den andre grunnen til at feilen man nå har funnet er så alvorlig som den er, er at den slår ut unormalt bredt. 

Sikkerhetshullene som oppdages på daglig basis har ofte få og – sammenlignet med Heartbeat – små konsekvenser. Enkelte hull lar crackere knekke seg inn til én nettside og hente ut passordene derfra. Det er ille nok, men probelemet er i alle fall isolert til kun én tjeneste.

Hovedårsaken til at sikkerhetshullet som nå er oppdaget er såpass dramatisk, er at det er alt annet enn isolert til én tjeneste. Det er uhyre mange nettsider som er rammet i ett jafs denne gangen.

I tillegg har sikkerhetshullet åpnet for at en cracker kan opprette en falsk nettside, for eksempel en falsk versjon av et sosialt nettverk eller en lagringstjeneste, og hente ut opplysninger fra deg i lang tid.

Åpne kort

Nettet har vært med oss i 25 år nå, men det er i hovedsak bare navnet som har eksistert så lenge. Alt «utstyret» som utgjør webben, det vi faktisk bruker, er gjerne bare noen år gammelt: Det er nye datamaskiner, og det er relativt ny programvare. Og mye av programvaren er basert på det vi kaller åpen kildekode.

OpenSSL er gitt ut med åpen kildekode. Det betyr at absolutt alle som vil har full innsikt i kildekoden, oppskriften til programmet. Alle spiller med andre ord med åpne kort: Crackerne som vil utnytte OpenSSL kan se akkurat hva den er laget av, noe de som vil bruke teknologien til å beskytte seg også gjør. 

Det høres kanskje skummelt ut, men i praksis resulterer åpen kildekode i svært trygg programvare. Da er det nemlig flere tusen utviklere som har daglig jobber med OpenSSL, noe som igjen betyr at eventuelle sikkerhetshull blir oppdaget og tettet fort som fy.

Hardware.no har undersøkt med flere utviklere som har innsikt i OpenSSL, og de omtaler kildekoden som kompleks og rotete. Teknologien er i praksis regnet som en standard på nett, selv om det finnes alternativer, og den har vært mer eller mindre vært med oss siden nettets oppstart. Men at den har vært med oss lenge betyr også at koden tidsvis kan fremstå som et lappeteppe, og med hver eneste søm kommer muligheten for et nytt hull.

Sammenlignet med andre teknologier utgitt med åpen kildekode er også OpenSSL temmelig avansert. Krypering på nett handler om nettopp kryptografi, og det er et tungt tema som ikke alle behersker – og dermed er det færre folk som har muligheten til å se et problem med koden.

Uansett er og forblir sikkerhetshull en del av naturen på Internett. «Heartbleed» er et veldig alvorlig hull vi heldigvis sjeldent ser, men det kommer ikke til å bli det siste vi oppdager. Nettet vil aldri bli 100 prosent sikkert, noe dette hullet er et godt eksempel på. La oss bare håpe det blir lenge til neste gang noe lignende skjer.

Det hjelper likevel lite om du har gode passord om du ikke beskytter dem godt:
Les hvor lett vi avslørte alle passordene i nettleseren, og hvordan du kan sikre deg »

Kommentarer (20)

Norges beste mobilabonnement

Mars 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Komplett MiniFlex 1GB


Jeg bruker middels mye data:

Telio FriBruk 5GB+EU


Jeg bruker mye data:

Komplett MaxiFlex 10GB


Jeg er superbruker:

Komplett MegaFlex 30GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen