Ett hål i nätet

Text:

Bild: Susanne Lindholm/tt

Förra måndagen upptäcktes det att internet var trasigt. Och det på grund av ett litet, litet fel i en krypteringsteknik.

Det började med att några finländare och en forskare på Google, oberoende av varandra, hittade en bugg i krypteringssystemet Open SSL.

Utanför de invigdas krets är det få som har koll på vad Open SSL är. I korthet kan man säga att det är en teknik för att skydda information som skickas över internet. När du exempelvis skriver adresserna till gmail eller facebook i din webbläsare syns snart ett litet hänglås längst till vänster i adressfältet, och adressen får ett extra s – https i stället för http.

Det betyder att den information du skickar är krypterad. Den som lyckas »lyssna av« det du skriver på Facebook får bara se en massa slumpade och osammanhängande rader av bokstäver och siffror.

Open SSL är väldigt populärt. Uppskattningsvis använder sig två tredjedelar av servrarna på internet av det.

Därför blev uppståndelsen stor när buggen »Heartbleed« upptäcktes. Den döptes till det eftersom den fanns i ett tillägg i Open SSL som kallades »Heartbeat«.

Det visade sig att i princip vem som helst hade möjlighet att gå in på en server och tömma arbetsminnet på små bitar av information.

– Man kunde fråga servern vad den höll på med just då. Och då svarade den typ »jo, jag håller på att logga in Sven som har lösenordet banan34«, säger Erik Wahlström, teknikstrateg på säkerhetsföretaget Nexus.

Det var lite som att fiska. Den som ville göra ett dataintrång kunde inte veta om informationen i arbetsminnet var någonting att ha. Men eftersom man kunde ställa frågan gång på gång var sannolikheten stor att det så småningom dök upp användbara saker. Dessutom var risken stor att hackare kom över servrarnas privata krypteringsnycklar. I så fall skulle det inte vara några problem för inkräktarna att tjuvlyssna på servrarnas övriga information.

Måndagen blev en svettig dag för it-personal över hela världen. Och några vanliga människor märkte också uppståndelsen. Ingen kunde spela Minecraft på ett tag. E-handelsjätten Amazon fick uppdatera sina servrar. Och så vidare.

Men hur många fick sina bankuppgifter stulna? Hur många lösenord läckte ut?

Ingen vet. Och ingen kommer någonsin att få reda på det. Det finns nämligen inga loggar över aktiviteten i servrarnas arbetsminnen, inga spår som går att följa i efterhand.

Händelsen har satt ljus på hur säkerheten på internet egentligen fungerar – och om it-branschen gör tillräckligt. Open SSL är, precis som många andra program, baseradet på öppen källkod. Det innebär att den är öppen att använda, läsa och modifiera för vem som helst. Genom att flera företag, institutioner och forskare gemensamt kontrollerar och utvecklar koden blir resultatet oftast bättre än om ett enskilt företag, eller en ensam myndighet, hade utvecklat den på egen hand.

Men systemet bygger på att tillräckligt många bidrar. Att det här felet tog två år att upptäcka visar att resurserna inte är tillräckliga.

– Lärdomen av det här är att fler måste bidra. Säkerheten på internet har alltid varit eftersatt. Det är som att det är det sista lagret man lägger på, säger Erik Wahlström.

Banker, finansinstitut, kommuner, stater, transportföretag – listan på företag, organisationer och myndigheter som drar nytta av det som produceras med öppen källkod är lång.

I måndags fick de alla ta en del av kostnaden för att systemet inte funkade riktigt som det skulle.