Bak nøkkelhullet

LEDER: Når Heartbleed ikke etterlever "hypen", blir kritikk uunngåelig, skriver Leif Hamnes.

Publisert Sist oppdatert

64 kilobyte med randomisert datastrøm fra det til enhver tid aktive minnet til en travel server. Dette er byttet man siden nyttårsaften 2011 har kunnet tilrane seg med én enkelt exploit av den såkalte Heartbleed-sårbarheten i OpenSSL.

Om en 12 år gammel gutt får sjansen til å titte uforstyrret inn nøkkelhullet til jentedusjen i 64 tilfeldige sekunder, slår han trolig til. Spørsmålet er hvor mye han får ut av det, når han ikke på forhånd vet verken hvilken ukedag eller klokkeslett gymtimen er, eller hvilken av skolens 50 dører og nøkkelhull som leder til det forjettede land.

64 kilobyte kan så klart bli langt flere, og farligere, hvis en Heartbleed-angriper sender flere gjentatte forespørsler til samme server. Men akkurat som "vår" 12-åring – som blir fersket i det han slår seg ned permanent utenfor jentegarderoben eller teiper fast HD-kamera til dørklinka – har Heartbleed sine begrensninger for en dataskurk (og NSA) både når det gjelder gjentatte exploits og automatisering av angrepet.

Mye er blitt sagt om norske myndigheters magereaksjon: Var det virkelig nødvendig å be alle nordmenn om å bytte alle passord? Når Heartbleed så etter alt å dømme ikke etterlever "hypen", blir kritikk uunngåelig.

Til NSMs forsvar skyldes dette primært flaks – i form av et lite "brukervennlig" sikkerhetshull. I NSMs verden er begrepet "risiko" i en ROS-analyse et produkt av sannsynlighet for uønsket hendelse multiplisert med konsekvensen. Selv om "sannsynlighet" her etter hvert viste seg å være lav er "konsekvens"-delen av Heartbleed, potensielt åpen tilgang til enhver OpenSSL-kryptert datatrafikk, tilsvarende enorm.

Følelsen av muligens å ha blitt HD-filmet i dusjen når og hvor som helst de siste to og et halvt årene, bør for de fleste være motivasjon god nok til å bytte garderobelåsen.

PS: Den enkleste og mest pedagogiske forklaringen av Heartbleed er for tiden i tegneserieformat, signert en av redaksjonens favoritter XKCD. Se den her.