Det er oppdaget et meget alvorlig sikkerhetshull i krypteringsbiblioteket OpenSSL, programvaren som krypterer dataene som flyter mellom sikre Internettsider rundt om kring i hele verden.

Sårbarheten skal ha ligget latent i programvaren helt siden Heartbeat-utvidelsen av programmet ble lansert i mars 2012, og kan gjelde så mange som to tredjedeler av alle nettbrukere, meldte nettstedet Ars Technica onsdag.

Mange nettsider er rammet, og flere selskaper — nå sist Telenor - ber brukerne skifte og bytte ut passordene sine. Også Schibsted, med Finn og Schibstedavisene, melder om at brukerne må bytte passord.

- Ikke unikt

Sikkerhets- og passordekspert Per Thorsheim sier at det ikke er noe unikt at feilen først ble funnet etter to år – selv om det var i et program med åpen kildekode som «alle» kan lese.

— Det er flere eksempler på at feil har ligget i mange år uten at det har blitt oppdaget. Dessuten drives OpenSSL av dyktige, men få mennesker.

Fagredaktør i teknologinettstedet Hardware.no, Jørgen Elton Nilsen, mener at nettopp det at kildekoden er tilgjengelig for alle gjør teknologien veldig sikker.

— Det er trolig flere titalls tusen utviklere verden rundt som jobber med OpenSSL i forskjellige varianter, noe som sørger for at sikkerhetshull normalt blir oppdaget uhyre raskt, sier Elton Nilsen.

Han viser til at alle programmer har feil, og at de oppdages hele tiden, men når en feil oppdages i OpenSSL blir den normalt tettet ekstra raskt.

— Det ble den også denne gangen: Bare timer etter at feilen ble kjent, var en fiks på plass.

I teorien kan noen ha visst om feilen fra den oppstod for nesten to år siden. Har de utnyttet den, må det i så tilfelle ha vært i liten skala for ikke å ha blitt oppdaget.

Fagredaktøren mener sikkerhetsfeilen som nå er kjent hører til sjeldenheten.

— Disse vil alltid dukke opp, men OpenSSL har vært regnet som en av de sikreste av alle som driver på nett. Nettopp derfor har omfanget av problemet blitt såpass stort nå som hullet er offentlig kjent, sier Elton Nilsen.

Her kan du sjekke om nettsiden er rammet

Har noen utnyttet feilen?

- Mange lurer på om noen med uærlige hensikter kan ha utnyttet sårbarheten?

— Det er komplisert å utnytte denne sikkerhetsfeilen, og for at en hacker skal kunne ha gjort det må han eller hun ha hatt tilgang til infrastrukturen mellom deg og tjenesten, noe veldig få har. Bruker du en tjeneste som har to steg i verifiseringen, slik nettbanken din har med både passord og kodebrikke, og som Google og Facebook tilbyr med både passord og SMS-kode, er du også langt tryggere, forklarer Elton Nilsen.

Han mener det fort ville blitt oppdaget om noen hadde utnyttet feilen til for eksempel å hente ut e-post-adressene til alle Facebook-brukerne. Det ville fort blitt oppdaget om noen prøvde å selge disse på svartebørsen.

— I teorien kan noen ha visst om feilen fra den oppstod for nesten to år siden. Har de utnyttet den, må det i så tilfelle ha vært i liten skala for ikke å ha blitt oppdaget.

Har du tips om denne saken? Send oss en epost!

- Data har blitt stjålet

Datasikkerhetsekspert Einar Otto Stangvik mener det er vanskelig å vite hvorvidt noen kan ha utnyttet sikkerhetshullet før feilen ble oppdaget, men er sikker på at mange hackere har stjålet data etter at sikkerhetsfeilen «Heartbleed» ble oppdaget og frem til hullet ble tettet.

Selv om hullet er tettet fra sentralt hold, er ifølge Stangvik flere tusen tjenester fortsatt berørt bare i Norge.

-Det er fortrinnsvis de største og mest profesjonelle tjenestetilbyderne som har kompetanse og systemer til å overvåke og avdekke datatyveri basert på denne feilen, da det bare er ørsmå mengder data som hentes ut hver gang.

Stangvik mener derfor det blir spennende å se hva de neste dagene vil bringe.

— Nå går vi inn i en typisk analysefase, hvor hackere som har utnyttet sikkerhetshullet etter at det ble kjent, går igjennom dataene de måtte ha greid å få ut. I hvilken grad informasjonen er sensitiv, er det derimot vanskelig å si noe om, sier Stangvik.

Han understreker at programvaren er rettet sentralt.

-Flere tjenestetilbydere har oppdatert sine servere, men mange gjenstår fortsatt. Videre gjenstår det også hull i mange typer enheter som printere, rutere, nettverkslagringsservere osv., som få har gode vedlikeholdsrutiner for, sier Stangvik.

Les våre saker om temaet:

Bytt passord på Finn og alle Schibsted-avisene

Bytte passord? Ikke bytt til disse

Telenor ber alle bytte passord

Slik er de store selskapene rammet

Heartbleed:

  • Konkret dreier sårbarheten seg om programvaren OpenSSL, som gjør det mulig å snakke kryptert mellom tjenester på nettet, for eksempel mellom nettleseren din og Norwegian. Problemet er at det har blitt sendt ut mer informasjon enn det som var meningen.

  • OpenSSL er den mest brukte sikkerhetskrypteringen på nett.

  • Det er en sårbarhet i systemet som gjør at du kan dumpe minne fra for eksempel webserveren til din nettbank. I Open SSL er det mulig å sende en håndtrykksmelding bare for å teste at forbindelsen er god.

  • Da sender man en pakke med data til serveren, og får en pakke med informasjon tilbake. Hvis du jukser med hvor mye data du sender til serveren, kan du få tilfeldige data fra minnet til webserveren.

  • Ved å hente ut tilfeldige pakker på 64.000 tegn mange nok ganger, kan et passord være med i «fangsten»

  • Feilen kan ha blitt brukt til å hente ut store mengder informasjon som er blitt sendt i kommunikasjonen mellom klienten og serveren.

  • Millioner av passord, kredittkortinformasjon og annen personlig informasjon har derfor ligget åpent tilgjengelig på nett.

  • Feilen ble ikke oppdaget før etter to år. Det er grunnen til at mange nå er bekymret.

  • For å fikse feilen, må selskapene som driver nettsidene oppdatere til en ny versjon av OpenSSL. Det nytter ikke å bytte passord før dette er gjort.