KAN VÆRE PÅ AVVEIE: Passord og sensitiv informasjon. Foto: REUTERS / Pawel Kopczynski / NTB scanpix
KAN VÆRE PÅ AVVEIE: Passord og sensitiv informasjon. Foto: REUTERS / Pawel Kopczynski / NTB scanpixVis mer

- Feilen var «ganske triviell», men følgen var alvorlig

Tyske Robin (31) la inn feilen som skapte «sikkerhetskatastrofen» «Heartbleed».

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): Nettsikkerhetsskandalen «Heartbleed» omtales som en sikkerhetskatastrofe, som potensielt kan ha gjort sensitive opplysninger om to tredjedeler av verdens nettbrukere tilgjengelige for kriminelle.

Den 31 år gamle dataprogrammeren Robin Seggelman fra Münster i Tyskland er mannen som helt ufrivillig står bak glippen. Han forteller nå hva som skjedde i et intervju med den australske avisa The Sydney Morning Herald.

- Jeg jobbet med å forbedre OpenSSL og rettet flere feil, og la inn noen nye funksjoner. I en av de nye funksjonene glemte jeg dessverre å sjekke en variabel som inneholdt en lengde, sier han til avisa.

Som å feilstave «Mississippi» The Daily Dot sammenlikner Seggelmans feil med å feilstave «Mississippi». Altså ganske fort gjort, og i utgangspunktet ikke alvorlig i det hele tatt.

Seggelman selv sier til The Sydney Morning Herald at feilen var «ganske triviell», men at følgen var alvorlig.

Etter at han sendte inn koden, skulle angivelig Dr Stephen Henson, en av de 13 personene som har det overordnede ansvaret for oversynet med OpenSSL, se over og godkjenne den. Men ifølge Seggelman ble feilen oversett.

Ifølge The Daily Dot la Seggelman inn kodene kl. 22.59 nyttårsaften 2011.

Åpen kildekode OpenSSL er omtalt som et krypteringsbiblioteket basert på åpen kildekode. Programmet krypterer dataene som flyter mellom antatt sikre internettsider. Kildekoden til programmet er  gjort tilgjengelig for alle.

Artikkelen fortsetter under annonsen

Seggelman leverte i oktober 2012 en doktogradsavhandling om nettopp sikker kommunikasjon på nettet, med den engelske tittelen «Strategies to Secure End-To-End Communication».

Konfrontert med at det har kommet flere konspirasjonsteorier om hvem som faktisk står bak «Heartbleed» og hvorfor, sier Seggelman at det kanskje er en fristende å spekulere i kjølvannet av Snowden-avsløringene.

- Men dette er bare en enkel programmeringsfeil i en ny funksjon, dessverre i et sikkerhetsrelevant område. Det var ikke meningen i det hele tatt, særlig siden jeg har jobbet med å rette feil i OpenSSL selv og bare prøvde å bidra til prosjektet, sier han til avisa.

Håper på noe positivt Han sier samtidig at det er mulig at for eksempel etterretningsorganisasjoner har utnyttet feilen.

- Det er alltid best å anta det verste i sikkerhetssaker, sier han, og avviser at han har noen knytninger til noen etterretningsorganisasjoner.

Seggelman sier det kan komme noe positivt ut av avsløringen av sikkerhetshullet: At flere må bidra til å kvalitetssikre åpen programvare.

VILLE BARE BIDRA: Robin Seggelman. Foto: Linux Tag
VILLE BARE BIDRA: Robin Seggelman. Foto: Linux Tag Vis mer

- Det er uheldig at det bare er et knippe personer som faktisk bidrar til programmer som brukes av millioner, sier han.

- Fordelen med åpen programvare er at alle kan lese og sjekke koden. Jo flere som bidrar, jo bedre.

Seggelman har vært ansatt som forskningsassistent ved universitetet i Münster, og har selv tidligere oppgitt at han har bidratt til OpenSSL siden 2008 da han tok en mastergrad.

Dataene får mindre og mindre verdi Vidar Sandland, seniorrådgiver i Norsis, sier for øvrig til Dagbladet at det hittil ikke er noe som tyder på at kriminelle utnyttet «Heartbleed»-feilen før den ble avslørt.

- Det har ikke kommet noen rapporter som tyder på at noen har utnyttet informasjon som kunne hentes ut gjennom Heartbleed sårbarheten. Hvis noen faktisk satt på store mengder data som følge av dette, er det sannsynlig at de ville brukt det. Men vi ser ikke flere passord eller kredittkort på avveie enn normalt. Det ville vært mest lukrativt å handlet før «alle» byttet passord. Hvis det ikke skjer noe relativt raskt, så er det heldigvis stor sannsynlighet for at det ikke vil skje i det hele tatt. Dataene får mindre og mindre verdi, sier Sandland.

Justisminister Anders Anundsen (Frp) sier til NTB at han vil gjennomgå myndighetenes varsling etter «Heartbleed»-avsløringen, og at han har innkalt flere IT-etater til møte.

- Det er viktig for myndighetene å være tydelige. Var vi raskt nok ute med informasjonen? sier justisministeren til NTB. Han oppfordrer alle til å følge instruksjonene fra sine tjenesteleverandører om hvordan de skal forholde seg etter feilen som omtales som Heartbleed.

- Det er også viktig å huske at noen kan prøve å svindle deg til å gi fra deg passordet. Den typen ting må man være oppmerksom på, sier Anundsen.