Vi brukar inte ta upp säkerhetshål eller dylikt i webbens stora väv. Men en nyligen upptäckt bugg är vad vi förstår mycket allvarlig. Den kallas Heartbleed och påverkar de flesta Linux-servrar på nätet, som ännu inte uppdaterats.
Buggen ligger i programvaran OpenSSL, som sköter SSL-protokollet, eller helt enkelt när webbläsaren visar det klassiska hänglåset, vilket i sin tur visar att datan som skickas mellan användaren och servern är krypterad.
Heartbleed är dock ett fel i implementationen av SSL-protkollet som gör att en angripare sakta men säkert kan ta droppar av blod ifrån serverns hjärta (minnet). Är angriparen ihärdig kan denne till slut sitta med en stor mängd av serverns minne och därigenom få reda på till exempel säkerhetsnycklarna som används.
Kan läsa allt som skickas
Detta betyder att trafiken mellan användare och server inte längre är säker och angriparen kan tyda all trafik, samt göra en massa annat otäckt, även om hänglåset hänger i adressfältet.
Mer information om buggen hittar ni på Heartbleed.com eller på svenska hos Glesys som skrivit om den. Det finns även ett test på denna länk, som dock inte ska vara 100 procent säkerställt, men en bra start för att se om man är drabbad.
Buggen skall ha existerat i det vilda i över två år vilket gör att säkerhetsnycklar och certifikat redan kan vara ute på vift. Vill man vara helt säker på att man täppt igen alla hål bör man alltså även förnya och byta ut nycklar samt certifikat.
Heartbleed skall inte vara en svaghet i SSL-protokollet utan endast i OpenSSL:s implementation sedan ungefär 2 år tillbaka.