Flera stora medier har de senaste dagarna rapportera om en STOR säkerhetslucka som hittats, förmodligen den största någonsin. T ex skriver Metro om detta idag. Buggen går under det poetiska namnet Heartbleed och har till och med fått en egen logga.
Jag fick idag frågan “-Stämmer verkligen det där som tidningarna skriver?”, och jag har gett mig på att försöka förklara det ett par gånger.
Här är min uppfattning:
Ja, informationen stämmer. I teorin. Men som vanligt när stor-media hakar på springer alla runt som nackade höns och flaxar med vingarna.
Det finns idag praktiska exempel på hur säkerhetshålet kan utnyttjas för elakheter, men de drabbade är de som driver stora webbsajter där personer loggar in med användarnamn och lösenord. Där gjorde buggen att det kan läcka information mellan användarna och du kan till och med ta över någon annans session.
Framförallt Yahoo var drabbade, det finns exempel där man kunde komma in i någon annan slumpvis persons webbmail. För Yahoo är (eller var!) buggen extremt allvarlig.
Det som gör att detta är så tacksamt att skriva om för media är att det teoretiskt finns mycket läskigare saker som kan ha hänt.
Buggen gör att en liten (mycket liten) del av servern minne kan läsas utifrån internet. Man vet inte vilken smula av det stora minnet man får ut, men man kan å andra sidan utnyttja sårbarheten många gånger och till sist få ut en ganska stor del av servern minne.
Kronjuvelen i serverns minne är den krypteringsnyckel som skyddar informationen när den skickas fram och tillbaka över internet mellan servern och klienten. Om någon lyckas komma över den nyckeln är all kryptering från den servern värdelös ur säkerhetssynpunkt.
Som det ser ut just nu kan man likna buggen med att man doppar ner ett dricksglas i en 25-metersbassäng med vatten och hoppas fånga en liten guppy som simmar runt där (guppyn är krypteringsnyckeln).
Om det är strikt slumpmässigt om man att fånga guppyn eller ej så är det inte någon fara på taket, för det skulle ta ganska lång tid att fånga guppyn. Ingen skulle ha tid att plocka guppyn ur varje bassäng i världen under den här månaden som buggen varit känd.
Men om något hittat en genväg, t ex att locka in guppyn i glaset med lite smaskig fiskmat, då är det värre. Då kan någon i tysthet ha samlat in alla guppys där ute.
Ska man även blanda in Yahoo i liknelsen så var deras bassäng så proppfull med fiskar (hemlig information) att man fick napp varje gång man stoppade ner glaset. Det var såklart katastrof, men det gick mig veterligen inte att fånga en speciell fisk på beställning?
Så vad säger detta oss? Kan vi lita på SSL? Måste vi byta alla certifikat i hela världen?
Jag har inte hittat något exempel på att någon lyckats göra en lyckad insamling av krypteringsnyckeln från en server via den här buggen, så jag tror inte att man behöver byta alla certifikat nu genast. Man ska även beakta att det finns mycket pengar att tjäna för dem som säljer certifikat, så det kommer att komma en hel del skrämselpropaganda.
Fast å andra sidan har buggen funnits på Internet i runt två år. Kanske har någon känt till detta väldigt länge? Och fiskat ut haven? NSA? FRA?
Börjar man fundera i dessa banor är det bara att dra på sig foliehatten och byta ut sina certifikat…