Kodare: Heartbleed var ett
Personen som kodade den stora it-säkerhetsluckan Heartbleed säger att det inte alls var meningen att göra det. Samtidigt riktas kritik mot NSA, som uppges ha utnyttjat luckan i två års tid.
”Katastrofalt är det rätta ordet. På en skala från 0 till 10 är det här en 11”, skriver kryptologiexperten Bruce Schneier på sin blogg. Han avser den säkerhetsrisk som it-säkerhetsluckan Heartbleed har skapat.
Det finländska it-säkerhetsföretaget Codenomicon står i centrum för kontroversen kring luckan – det var Codenomicon som först rapporterade om Heartbleed i måndags – samtidigt som den upptäcktes av Google. Många analytiker kallar det för den största säkerhetsluckan i internets historia.
– Det är en allvarlig bugg, eftersom den inte lämnar några spår, säger Codenomicons vd David Char- tier till New York Times.
– Skurkar kan få tillgång till minnet på en dator och stjäla krypteringsnycklar, användarnamn, lösenord, värdefull intellektuell egendom, utan att lämna ett enda spår efter sig.
Problemet beror på ett misstag i en krypteringskod med öppen källkod, som enligt Codenomicon används i 66 procent av hela världens webbtjänster, bland annat Facebook, Twitter, Instagram, Yahoo, Dropbox och Google. Den goda nyheten är att felet inte är svårt att åtgärda, och så gott som alla stora webbtjänster har redan ”täppt till hålet”. Den dåliga nyheten är att luckan uppstod
”Det är en allvarlig bugg, eftersom den inte lämnar några spår.” DAVID CHARTIER Codenomicon
redan för två år sedan, och många privatanvändare och mindre tjänster ännu kan vara i farozonen.
Finsk upptäckt
Heartbleed uppstod under en rutinuppdatering av krypteringssystemet Open SSL under 2012. Den tyske mjukvaruutvecklaren Robin Seggelmann berättar för Sydney Morning Herald att han helt enkelt glömde att slå in ett tecken, och trots att koden dubbelcheckades av en annan person, upptäcktes inte felet.
– Det var inte alls meningen, speciellt som jag själv sysslat med att fixa buggar i Open SSL, och försökte bidra till systemet, säger han.
Luckan gör att det är möjligt att utan stora expertkunskaper stjäla slumpmässig information från servrar – ofta är det sådan information som nyligen körts genom en dators systemminne, som just användarnamn och lösenord. Den verkligt stora faran är ändå att man kan komma åt de så kallade ”privata krypteringsnycklarna” på en server. Med den nyckeln kan en angripare öppna användarens krypterade informa-