Stadig flere nettsteder krever at du logger deg inn med brukernavn og passord for å kunne dra full nytte av tjenestene de tilbyr. Det er når du er innlogget på en slik tjeneste du er sårbar for datatyveri gjennom sikkerhetshullet som ble oppdaget denne uka, også kalt «heartbleed».
Feilen ligger i programmet bak Open SSL, som millioner av nettsteder benytter.
Stjeler fra minnet
Når du er påkoplet en nettjeneste, er det en mulighet for at nettleseren du bruker sender en «er du fortsatt der»-melding («heartbeat request»). Da svarer serveren du er pålogget med en «heartbeat response».
–Problemet ligger i at serverkoden ikke sjekker tilstrekkelig omfanget av klientens forespørsel, slik at webserveren i responsen drar med seg opptil 64 kilobyte av arbeidsminnet når den responderer. I dette arbeidsminnet kan det ligge data fra tidligere beregninger, inkludert passord og krypteringsnøkler, forklarer Stig Frode Mjølsnes, professor ved institutt for telematikk ved NTNU.
En lang rekke norske nettsteder gikk i går gjennom sine systemer for å sjekke om de hadde de sårbare versjonene av OpenSSL. Nasjonal Sikkerhetsmyndighet oppfordret onsdag alle med sårbare versjoner til å oppdatere systemene.
Også ved institutt for telematikk ble systemene gjennomgått. Nå vil Mjølsnes og hans kolleger gå enda dypere inn i heartbleed-problemene.
–Vi har ikke gjort noen eksperimenter rundt dette hos oss ennå, men det må vi finne ut av, sier han.
Opphausset?
Andre eksperter har kalt heartbleed tidenes sikkerhetshull på nettet. Mjølsnes mener det er for tidlig å trekke en sånn konklusjon.
–Det er mye opphaussing når slike ting skjer, men man vet jo ikke hvem som har tittet hvor. Har noen sett på krypteringsnøkkelen som ligger på serveren og snappet den opp? I så fall kan det være store indirekte følger av dette. Det er verst for krypteringsnøklene som er blitt synlige ut på nettet, sier han.
Med opphaussingen kommer også konspirasjonsteoriene. Den tyske programmereren Robin Seggelmann fra Münster i Tyskland har i et intervju med Sydney Morning Herald oppgitt at det er han som har begått feilen.
Mjølsnes slutter seg til det andre eksperter uttalte til Adressa.no torsdag: Vær forsiktig med nettbruken de neste dagene, og vent med å bytte ut alle dine passord til et stykke ut i neste uke.
–Folk flest bør vente på en melding fra tjenesteleverandøren. Nå må banker og andre komme på banen og gjennomgå systemene sine, og så informere brukerne når krypteringsnøkkelen er oppdatert.