Internets blödande hjärta
Heartbleed-buggen visar vidden av hotet mot vår personliga integritet, skriver Martin Löwdin.
Har du hört talas om Heartbleed? Det är inte en ny film eller en bok. Det är det poetiska namn IT-tekniker gav ett programvarufel som verkligen satte fingret på internets sköra säkerhet. I veckan avslöjades att en svit verktyg för att skapa säkra förbindelser över nätet – verktyg som används av banker, e-posttjänster och myndigheter – innehöll ett misstag i programmeringen som gjorde det möjligt för en angripare att läsa hemligheter ur minnet på den angripna datorn. Hemligheter som e-post, foruminlägg och bankuppgifter. Eller själva de kodnycklar som ska hålla förbindelsen säker.
När Heartbleed blev offentligt natten mot tisdag började tekniker och ingenjörer världen över en kamp mot klockan för att täppa igen hålen innan de utnyttjades. Långt ifrån alla serverdatorer var utsatta, men tillräckligt många för att det ska vara riktigt allvarligt. Inte minst därför att felet har funnits i två-tre år. Kanske utan att upptäckas av någon, kanske bara utan att offentliggöras. Ingen kan veta säkert just nu.
Mångas tankar gick genast till NSA, USA:s signalspaningsmyndighet, och deras olika program och projekt för att underminera säkerheten på hela internet. Nu verkar det som tur är inte som att Heartbleed var ett medvetet drag, uppfunnet och instoppat av NSA själva. Ingenting i dokumenten Edward Snowden läckte från NSA har hittills nämnt en liknande bakdörr. Ändå finns misstanken där, gnagande, i bakhuvudet.
Det här visar vad massövervakningen gör med oss. Många av oss har fått svårt att lita på internet, vilket är väldigt allvarligt när myndigheterna mer och mer flytta ut på nätet och webb-baserade tjänster används för allt från skattedeklarationer till att hitta dagisplats. Vad händer med samhället när den här kommunikationskanalen övervakas i detalj? Att vi inte kan veta ifall någonting som Heartbleed är ett misstag i programmeringen eller en medvetet inympad svaghet för att ge NSA tillgång – blotta den misstanken borde få oss att stanna upp och tänka.
För en överskådlig framtid är säkerheten på internet byggd på lerfötter. Det var den innan Heartbleed och den kommer fortsätta vara det trots att vi fixar felen allt eftersom vi upptäcker dem. Datorprogram kan aldrig bli perfekta och människor kommer alltid göra misstag. Det viktiga är att vi har ett samhälle som är rustat för att hantera den sortens händelser. Som kan hantera en IT-katastrof med samma snabba, genomtänkta svar som den hanterar en storm eller en översvämning.
Men mer än det behöver vi ett definitivt slut på den urskiljningslösa massövervakningen. Som om det inte vore nog med avlyssning har den också gått ut på att infiltrera systemen vi bygger både samhälle och näringsliv på.
Heartbleed satte fingret på internets sköra säkerhet. Och vår egen osäkerhet inför dagens internet. Våra bästa och mest sofistikerade arbetsredskap förvandlas till angivare och spioner – i vår egen trygghets namn.