For utviklere og andre med god kjennskap til datasikkerhet, er det en grunnsten i sikker kommunikasjon på nettet. Mange av oss andre ble derimot oppmerksomme på SSL- og TLS-protokollene for første gang denne uken.
På mandag ble det nemlig oppdaget et alvorlig sikkerhetshull i det mest brukte biblioteket for SSL- og TLS-kryptering: OpenSSL. Sårbarheten har fått navnet Heartbleed.
Tidligere har vi skrevet om hvordan du kan sjekke hvem som er rammet.
(TLS og SSL er to protokoller med få tekniske forskjeller. For enkelhets skyld brukes bare SSL heretter.)
Les også: Netthandel-svindelen av norske bankkunder øker kraftig
64 kilobyte
Du bruker høyst sannsynlig standarden hver eneste dag. For eksempel hver gang du er inne på en webside som begynner med "https://".
Den brukes til å verifisere webservere og hindre at andre kan se passord, bankinformasjon og andre sensitive opplysninger vi taster inn på websider.
Heartbleed-buggen kom inn i biblioteket under en utvidelse den 31. desember 2011. Det betyr at det har vært mulig å smugkikke på passord og annen sensitiv informasjon hos nettbrukere i over to år.
Mer spesifikt kunne opptil 64 kilobyte med minne hentes ut fra en webserver uten å legge igjen ett eneste spor. 64 kilobyte er mer enn nok for å se innholdet i eposter eller kredittkortinformasjon.
Ingen vet hvor mye feilen har blitt misbrukt. Biblioteket er oppgradert og store nettsteder som Yahoo har tettet hullet, men det vil ta lang tid før alle andre gjør det samme.
Hvordan kunne en åpen kildekode, som har blitt gjennomgått utallige ganger av utviklere verden over, inneholde en så grov feil i to år? Betyr "Heartbleed" at standarden ikke er trygg nok?
Les også: Lars Erik hacker seg inn i kundenes datasystemer
Ikke perfekt
Juan J. Güelfo er daglig leder og sikkerhetsekspert i selskapet Encripto. Han mener det ikke er standarden i seg selv som er problemet.
– SSL-standarden er ikke perfekt, men protokollen i seg selv fungerer bra. Problemet er at den er sårbar for feil i det den implementeres av programmerere.
Han mener det er to sannsynlige scenarier for hva som har skjedd med OpenSSL.
– Det mest sannsynlige scenariet er en bug introdusert av en programmerer, altså menneskelig svikt. Dersom man er litt mer paranoid, kan man tenke på andre scenarier som er mindre sannsynlige, men fortsatt mulige. For eksempel en hacker som har fått tilgang til serveren hos OpenSSL og lagt til en liten endring i koden. Et annet er at noen som programmerer for OpenSSL er betalt, eller presset til å legge den inn, men dette er bare teorier.
Les også: – Ikke ha Windows XP-maskiner tilkoblet internett
Ingen garanti
– Men hvis det er mulig å endre utenfra, er systemet da godt nok?
– Dette er selvsagt ikke bra, men heller ikke overraskende. Du har aldri hundre prosent sikkerhet, men det kan bli bedre ved at man lager bedre rutiner for koderevidering, og grundigere testing, spesielt av ny funksjonalitet.
Han vil ikke spekulere i hvem som eventuelt kan ha lagt inn sikkerhetshullet.
– Dette er veldig bra for den som liker konspirasjonsteorier. Vi har jo tidligere hørt at NSA hadde bakdører hos softwareselskaper.
Jeg tror ikke det har vært tilfelle denne gangen, men spørsmålet er om det er andre aktører som har visst om hullet og har utnyttet problemet i løpet av de to siste årene.
Les også: – Bilene har ukjente sikkerhetshull som åpner for hacking
Det beste alternativet
Geir Bækholdt er direktør i Crypho, et selskap som leverer kryptert og nettleserbasert kommunikasjon. Han har jobbet med kryptering og åpen kildekode i en årrekke.
– Jeg er av den oppfatningen at SSL i praksis fungerer godt, og sannsynligvis kommer til å fortsette å være standardløsningen fremover. SSL (og TLS) gjør jobben bra for hovedoppgaven sin, å kryptere kommunikasjonen mellom en klient og en server.
Les også:Norske bedrifter ble utsatt for 50 «alvorlige» dataangrep i 2013
Problem med tredjeparter
Han mener at risikoen kan oppstå ved bruk av tredjeparter.
– Det er en utfordring i noen scenarier at sertifikatene utstedes av tredjeparter man må stole på, og at disse tredjepartene i teorien har mulighet til å lage man-in-the-middle-angrep. Spesielt i etterkant av datainnbrudd hos sertifikatutstedere merker man jo at dette ikke nødvendigvis er helt bra.
Bækholdt mener imidlertid at SSL er godt nok til sikre informasjonen vår i de fleste tilfeller.
– I de fleste bruksområder, som nettbutikker, nettbanker, kundeopplysninger og lignende, er ikke utfordringen å holde data unna nasjonalstater og sertifikatsutstedere, men at ikke hvem som helst skal få tak i informasjonen som oversendes. I disse tilfellene er SSL en god protokoll, og kommer til å fungere som det beste alternativet i lang fremtid.
Les også:
Slik holder du dokumentene dine hemmelig
I denne bransjen er du nesten sikret jobb
Telenor og Post- og teletilsynet krangler om regningen for nye «superabonnement»
