Buggen avslöjar allt du velat hålla hemligt

NYHETER

En ny internetbugg sprider skräck i it-världen.

Den hjälper hackare att sno åt sig krypterad information från servrar runt hela världen.

Säkerhetsluckan sägs vara "den största någonsin".

It-säkerhetsexperter kallar den "The Heartbleed bug" och nyheten om den sprids som en löpeld över hela världen.

Säkerhetshålet som hittades av forskare på Google tillåter hackare att komma åt krypterade nycklar gör att all information som skickas från din dator till en server blir tillgänglig. Lösenord, bankkonton, i princip allt du velat hålla hemligt, blir tillgängligt.

– Det här är bland det värsta som kan hända. Det gör att vem som helst kan komma åt hemlig information samtidigt som användaren luras att den är säker, säger Per Hellqvist, antivirusexpert på Symantec.

Det låter som en hackares dröm?

– Ja, det är precis vad det är.

Varje gång du skickar en förfrågan till en server som använder kryptobiblioteket OpenSSL så kan vem som helst dumpa ut minnet från servern. Minnet kan innehålla vilket data som helst. Det kan vara ett mail och lösenord men också säkerhetsnycklar till bankkonton.

Lämnar inga spår

Inkräktaren lämnar inga spår efter sig och användaren tror att de besöker en säker hemsida.

– Det är det som är det värsta i allt det här. Hemsidan signalerar hela tiden att du är säker och allt ser ut som det ska men i själva verket är det någon som har full tillgång till allt du skickar, säger Per Hellqvist.

Avancerade hackare kan också använda SSL-nycklarna för att styra överföringar.

– De kan till exempel ta över sidan och utge sig för vara din bank. Det kallas en "man in the middle attack". Det gör rent teoretiskt att den som vill skicka 10 000 till ett konto kan få pengarna omdirigerade till någon annanstans. Eller 100 000 kronor också för den delen, säger Joakim Von Braun, säkerhetsrådgivare som tidigare jobbat med it-säkerhet för Säpo.

Kan ha varit öppet i två år

Det går inte att säga hur många som drabbats av buggen, men ungefär 60 procent av alla webbservrar använder sig av OpenSSL.

– Det är många. Jag har svårt att se att något kommer att trumfa det här, säger Per Hellqvist.

Nu är det en kapplöpning med tiden huruvida företagen hinner täppa igen hålen innan någon börjar utnyttja det, skriver BBC. Och det kan ta tid. Pluggarna måste testas eftersom åtgärden kan krascha det egna nätverket. Inte nog med det - säkerhetshålet kan ha stått öppet i två års tid.

– Om någon hittade hålet då så är nycklarna ute och de kan ha haft fritt spelrum hur länge som helst. Då hjälper inte det inte att uppdatera programvaran. Om nycklarna är ute måste man installera om alla nycklar. Det tar tid, säger Joakim von Braun.

Hur ska man tänka som privatperson?

– Det säkraste är att inte besöka servrar som använder sig av detta. Samtidigt är det svårt att som privatperson veta vilka servrar som är kopplade till din dator. Man bör förmodligen inte skicka hemligheter över nätet på ett tag.