varningsskylt
Säkerhetsbristen Logjam kan låta en hackare sänka krypteringsnivån på en sajt eller mejlserver och på så vis lättare komma åt information.

Bristerna upptäcktes av en grupp säkerhetsexpert för ett par månader sedan. Enligt experterna är 8,4 procent av nätets en miljon största sajter, och många mejlservrar, är sårbara.

Logjam upptäcktes när de undersökte krypteringsbuggen Freak som hittades tidigare i år. Båda bristerna är kopplade till säkerhetsprotokollen SSL och TLS som används av många sajter och mejlservrar.

Matthew D Green– Det är faktiskt en brist i SSL-protokollet som har funnits i nästan två decennier nu, säger professor Matthew D. Green, som var med och hittade Logjam, till IDG News.

Rent praktiskt kan en hackare använda Logjam till att lura en webbsida att använda en krypteringsnivå på 512 bitar, vilket är mycket lägre än de flesta använder i dag. Men för att kunna utnyttja buggen måste man vara inkopplad på samma nätverk.

Säkerhetsexperterna bakom upptäckten har lagt upp en hemsida där det står hur du kan skydda din webbläsare eller sajt mot Logjam.

Som surfare gäller det helt enkelt att hålla webbläsaren uppdaterad. Internet Explorer har redan fått en säkerhetspatchning och Chrome, Firefox och Safari jobbar på en lösning.

De sajter som tidigare i år täppte till säkerhetsluckan Freak är redan skyddade. Däremot finns det många mejlservar som inte uppdateras regelbundet.

– Det stora problemet är mjukvarufolk som kör mejlservrar som inte är välunderhållna. De tänker inte på dem. De bara sätter upp dem och glömmer bort dem, säger Matthew D. Green.

Enligt Ars Technica står bakgrunden till säkerhetshålet att finna i amerikanska exportrestriktioner på 1990-talet som gällde för utvecklare vars program skulle användas i utlandet. Restriktionerna kom till för att FBI och andra myndigheter skulle kunna knäcka krypteringen när den användes av utländska aktörer.

Om en angripare har möjlighet att följa trafiken mellan en slutanvändare och en server som använder den så kallade Diffie-Hellman-metoden för nyckelutbyte och som stöder det aktuella kryptot, kan angriparen injicera kod i trafiken som sänker krypteringsnivån till 512 bitar. Tillsammans med data som förberetts innan kan angriparen sedan lista ut hur krypteringsnyckeln ser ut.

– Logjam visar återigen varför det är en värdelös idé att medvetet försvaga kryptering, som FBI efterfrågar i dag. Det är exakt vad USA gjorde på 90-talet med restriktioner på export av krypto, och den bakdörren är nu vidöppen och hotar säkerheten på en stor del av webben, skriver en av forskarna, J. Alex Halderman, i ett mejl till Ars Technica.

Läs mer: 
En kryptisk historia - Jörgen Städje om den moderna krypteringens utveckling
Kryptera hårddisken – hjälper det egentligen?