– Heartbleed var et hendelig uhell

Heartbleed-sårbarheten i OpenSSL har fått voldsomme konsekvenser. Ikke nødvendigvis i form av datalekkasjer, men ved at svært mange nettsteder og andre tjenester verden over nå har måttet skifte ut sikkerhetssertifikatene, samt at mange brukere av disse tjenestene har fulgt rådet om å erstatte sine passord med helt nye.

Så langt er det ikke kjent at sårbarheten faktisk har blitt utnyttet eller over hvor lang tid. Men man kan trolig ta det for gitt at det har skjedd tilfeller av slik utnyttelse i dagene som har gått siden sårbarheten ble allment kjent.

På grunn av det store potensialet til avlytting som Heartbleed gir, har det blitt spekulert i om det er NSA som har plantet sårbarheten i koden. OpenSSL er basert på åpen kildekode og mottar bidrag fra flere parter. Det har tidligere blitt hevdet at slike forsøk på bevisst planting av sårbarheter ville ha blitt oppdaget ved senere kodegjennomgang, men denne egentlig ganske opplagte sårbarheten ble først oppdaget etter to år.

Sydney Morning Herald publiserte i går kveld, norsk tid, et intervju med utvikleren som har skrevet koden til Heartbeat-utvidelsen. Vedkommende heter Robin Seggelmann, en tysk forsker ansatt ved Universitetet i Munster.

Seggelmann sier at han forstår at det er fristende å anta at NSA har hatt en finger med i spillet.

– Men i dette tilfellet dreide det seg om en enkelt programmeringsfeil i en ny funksjon, som dessverre oppstod på et område som er relevant for sikkerheten, forteller Seggelmann. Sårbarheten skyldes manglende validering av verdien til en variabel. Dette ble etter alt å dømme også oversett også av Stephen Henson, personen som skal ha revidert koden før den ble tatt i bruk.

Til Sydney Morning Herald sier Seggelmann at feilen han introduserte var ganske triviell, men at konsekvensene var svært alvorlige.

– Det ble overhodet ikke gjort med hensikt, spesielt siden jeg på egenhånd har rettet OpenSSL-feil tidligere, og forsøkte å bidra til prosjektet.

Sydney Morning Herald har en egen sak om bakgrunnen til Seggelmann. Der går det fram at han siden doktorgradsstudiene har publisert vitenskapelige artikler og holdt foredrag om IT-sikkerhet. Avhandlingen hans fra 2012 handlet om strategier for sikker internettkommunikasjon.

Seggelmann er forøvrig ikke bare utvikler av Heartbeat-modulen. Han har også vært med å skrive selve spesifikasjonen, sammen med to andre.

Leave a Reply

Your email address will not be published.