- Katastrofe. På en skala fra 1-10, er dette 11
Kan ha blitt utnyttet i over to år, og kriminelle kan vite alt om deg.
Det er ikke rent sjelden det skrikes opp om «sikkerhetshull her og sikkerhetshull der», på mange måter skjer det så ofte at det er en del av hverdagen vår, og vi må bare leve med problemene og håpe at det går bra.
Da meldingen om de såkalte Heartbleed-feilen dukket opp tidlig denne uken, var det ikke umiddelbart klart for alle hvor alvorlig dette egentlig var. Men informasjonen som har kommet ut siden, viser at dette kan være det største sikkerhetshullet i internetts historie.
Ikke bare har feilen rammet et ualminnelig stort antall nettsider - to tredeler av verdens nettsider kjører systemer som kan være rammet - men feilen har vært mulig å utnytte sikkerhetshullet i to år.
- Katastrofe er det rette ordet. På en skala fra 1-10, er dette 11, sier sikkerhetsekspert Bruce Schneier.
The Verge omtaler feilen som den farligste en har sett på nett.
Helt grunnleggende
Og dette hullet er ikke lite: Angripere kan plukke opp kryptert data, inkludert brukernavn og passord, og lese dette i klartekst. En kan også plukke opp såkalte private nøkler, noe som gjør at en kan dekryptere kommunikasjon fortløpende - og ikke minst dekryptere tidligere lagret trafikk.
Sistnevnte er spesielt nyttig for etterretningsorganisasjoner.
- Slik det ser ut nå, er sannsynligheten nær hundre prosent at ethvert mål har fått sine private nøkler avslørt av flere etterretningsorganisasjoner, skriver sikkerhetsekspert Bruce Schneier.
Utrolig vanskelig å oppdage
Det litt spesielle med hullet som nå er oppdaget, er at det er nær sagt umulig å oppdage om det har vært utnyttet. Det har vært flere indikasjoner på at systemet kan ha vært utnyttet i lang tid, men realiteten er at det finnes få, om noen, spor hvis så har skjedd.
Problemet er at utnyttelse av sikkerhetssvakheten enten ikke etterlater seg noen spor, eller legger igjen spor som er identisk med «legitim» trafikk. Derfor kan ikke eiere av en tjeneste kunne se om en faktisk har vært angrepet.
Det betyr også at ingen nå går ut og sier rett ut at brukerdata har kommet på avveie. Om det har skjedd, har de ingen bevis.
Det som derimot er helt klart er at feilen er høyst reell, og at passord kan leses ut i klartekst.
Resultatet er at en må anta det verste, uten å vite om det faktisk har vært et problem.
Hva er konsekvensen?
Hva som er de praktiske konsekvensene for folk flest, er for det første at en må anta at brukernavn og passord på alle rammede tjenester på nett er kommet på avveie.
Dette inkluderer noen av verdens mest populære nettjenester, men også norske aktører, som blant annet Telenor.
Det betyr at en må bytte passord på alle rammede tjenester. Og er du av den typen som bruker det samme passordet flere steder, må du også bytte passordet alle andre steder der du har benyttet det passordet.
Siden du sannsynligvis ikke husker alle steder du har registrert deg opp gjennom årene, er det en god idé å bytte over alt hvis du har som vane å bruke samme passord flere steder.
Henter det viktigste automatisk
Det er langt fra alle tjenester der det er noe reelt problem at passord kommer på avveie - men at man vet at for eksempel e-post-tjenesten tilYahoo har vært helt åpen, må en også til en viss grad ta forbehold om at all informasjon lagret i e-postboksen, på Facebook og lignende kan være plukket opp av andre.
Det er i liten grad slik at angripere manuelt går gjennom tingene dine på leting etter noe, med mindre du er et spesielt interessant mål. Men det finnes dataprogrammer som automatisk leter etter ting som passord, kredittkortinformasjon, passordtips, personnummer og lignende. Dette kan brukes til identitetstyveri - eller bare å spre virus til kontaktene dine på Facebook.
Informasjonen kan også brukes til ren vandalisme. Ved å få full tilgang til e-post, kan en angriper for eksempel fjernslette mobiltelefoner, ta kontroll over backup på nett, eller få tak i engangspassord til sensitive tjenester.
Alt dette betyr ikke at det vil skje deg, men det er ikke utelukket. Og hvor stor konsekvens det blir for de som eventuelt får problemer, vil variere stort.
Økonomisk konsekvens?
I dag er det ikke uvanlig at mange nettjenester har kredittkortinformasjon lagret for å enkelt kunne tilby handel. Alt fra PayPal til bookingtjenester til nettbutikker lagrer all informasjon, slik at du enkelt bare kan trykke på «kjøp».
Ved å kunne snappe opp passord, kan en risikere at angripere både tømmer kredittkortet ditt, enten direkte eller ved å handle på nett.
DNBs kommunikasjonsdirektør Thomas Midteide forteller til Nettavisen at en i utgangspunktet er sikret mot økonomisk tap, selv om det nå går ut massive oppfordringer til å bytte passord.
- Hovedregelen er at det er bankene som dekker kortsvindel, og vi har veldig god overvåkning for unormal bruk, sier Midteide.
- Men det blir en del «hassle» for de som blir rammet av dette, så en bør absolutt bytte passord, sier han.
Alt tyder på at norske kredittinstitusjoner i utgangspunktet har kommet seg klar av problemene, noe som betyr at nettbanken din i utgangspunktet aldri har vært utsatt.
Uhell eller gjort med vilje?
Etter flere måneder med historier om hvordan NSA overvåker internett, og hvordan de aktivt har gått inn for å legge inn bakdører i sikkerhetsteknologier, er det mange som umiddelbart tenker at NSA står bak dette omfattende hullet.
Så langt er det bare spekulasjoner, og de som har studert svakheten i detalj mener at det mest sannsynlig er en konsekvens av en god, gammeldags utilsiktet feil.