Här är buggen som hotar hela internet

2014-04-09 12:41  

The Heartbleed Bug. Så heter buggen som just nu skakar internet och underminerar krypteringen på två tredjedelar av världens alla webbservar. Buggen har varit oupptäckt i två år.

Ett litet programmeringsfel i världens vanligaste programvara för krypterade förbindelser på webben. Det räckte för att blotta innehåll, mejl, banktransaktioner och krypteringsnycklar på tiotals miljoner webbservrar världen över.

Buggen finns i programvaran OpenSSL – en bit öppen källkod för användning av internets vanligaste säkerhetsprotokoll SSL som utnyttjas av internetbanker, e-posttjänster och all annan trafik där kryptering krävs. Programvaran anses finnas på två tredjedelar av världens webbservrar.

Buggen upptäcktes oberoende av säkerhetsforskare vid företaget Codenomicon och hos Google, och publicerades i måndags då även en buggfix släpptes.

Genom buggen har attacker kunnat utföras där det gått att hämta hem information i små portioner, 64 kilobyte åt gången, från serverns arbetsminne, utan något som helst spår. Exakt vad som hämtas hem vet man inte på förhand, men eftersom attacken kan upprepas obegränsat är det bara att fortsätta att fiska.

Att innehåll, användarnamn och lösenord kunnat laddas ner är väl så allvarligt, men det största problemet är att även så kallade privata krypteringsnycklar för certifikat kunnat fångas upp, vilket i sin tur gör en attack möjlig då man kan lyssna i klartext på all krypterad trafik från och till en server, utan att lämna några spår.

Eftersom buggen funnits i två år är det ingen som vet i vilken utsträckning detta har gjorts.

Den mest uppmärksammade nättjänsten som drabbats är Yahoo. Å andra sidan ska Google, Apple och Microsoft ha klarat sig. Yahoo säger sig nu ha skyddat alla sina större tjänster.

Användare rekommenderas att fråga leverantörer av webbtjänster om de reparerat buggen. Framförallt gäller det mindre leverantörer som möjligen missat problemet. Först därefter är det lönt att byta lösenord.

Anonymitetstjänsten Tor, går så långt som att säga att "om du behöver en stark anonymitet eller sekretess på internet kanske du bör hålla sig borta från internet helt och hållet under de närmaste dagarna, medan saker och ting löser sig".

Även när nättjänster uppgraderat till en säker version av OpenSSL kvarstår problemet med att nycklar till certifikat kan vara på vift, och därför bör även certifikat bytas ut. Trots detta kan krypterade meddelanden som skickats fram till nu vara sårbara, om de är åtkomliga.

Det officiella namnet på buggen är CVE-2014-0160.

Tillkännagivandet finns på heartbleed.com.

Teknisk beskrivning av buggen finns här.

Mats Lewan

Mer om: Buggar

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt