Zero-day sikkerhetsproblem

I 2014 ble Internett plutselig klar over et stort sikkerhetshull og i en periode ble nyhetsbildet betraktelig mer IT-fokusert enn vanlig. Nyhetslesere fikk to nye ord å bekymre seg over: «Heartbleed» og «Zero-Day vulnerability».

Heartbleed var et sikkerhetshull i OpenSSL, en tjeneste som gir mulighet for krypterte koblinger mellom nettlesere og servere. Informasjonen som ble lagret i buffere i denne tjeneste kunne bli manipulert til å gi ut mer informasjon enn nødvendig. Enkelt forklart gjorde Heartbleed at man kunne spørre bufferen om å gi et svar på et gyldig spørsmål, som «hvor er jeg?», og definere at svaret skulle være kjempelangt, så bufferen kasta med all mulig informasjon den hadde lagret i tillegg til svaret.

Zero-Day refererer til hvor lenge programmererne har til å fikse et problem – null dager! Heartbleed var allerede misbrukt i lang tid, og når det først ble oppdaget var det ikke noen tid å miste i å rette det opp. Noen ganger oppdager programmerere et problem som kan bli utnyttet i framtida, kanskje fordi det er i et program eller tjeneste som ikke er i bruk enda. Når et Zero-Day sikkerhetsproblem blir oppdaget er det ofte for sent. Det er ikke alltid kriminelle som finner dem først: Såkalte white-hats – hackere med gode hensikter – har ofte funnet slike problemer først.