Sinds enkele dagen staat het internet in brand door wat nu al het grootste lek uit de geschiedenis van het WWW wordt genoemd. Er zit namelijk een tamelijk groot gat in een veelgebruikt beveiligingscertificaat. Moet je nu plots je wachtwoorden gaan veranderen?.
Heartbleed: waar het begon
Eerder deze week werd een kritieke bug in OpenSSL aangetroffen. OpenSSL is een immens populair stukje encryptiesoftware dat door het merendeel van de internetsites wordt gebruikt om verbindingen te beveiligen. Je herkent het aan een groen slotje naast het internetadres in je browser. Als je dat ziet wordt alle data via Secure Sockets Layers (SSL) verstuurd, waardoor malafide figuren niet kunnen meelezen met alle informatie die je verstuurt of ontvangt. Althans, dat dachten we.
Heartbleed: hoe werkt het?
Dit systeem blijkt nu te hebben gefaald. Het lek ontstond toen de verantwoordelijke programmeur en zijn collega vergaten bepaalde variabelen toe te voegen – terwijl ze juist bezig waren met het fiksen van bugs. Het zit er ook al even: sinds maart 2012. Hierdoor kunnen kwaadwillenden relatief makkelijk computergeheugens en servers binnendringen. Dat werkt zo: de encryptietechnologie heeft een soort hartslagfunctie waarbij computers een kort bericht sturen om te verifiëren dat de server aan de andere kant nog steeds verbonden is met het internet. Kwaadwillenden kunnen dankzij de bug van buitenaf een foutieve heartbeatcode versturen, waarna de server keer op keer een extra pakketje met 64k aan data meestuurt. Vandaar de naam heartbleed. Doen hackers dit vaak genoeg, dan krijgen ze vanzelf triviale data uit het servergeheugen in handen. Creditcardgegevens, inlognamen, wachtwoorden, etc. En zonder een spoor achter te laten.
Dit zegt het Nationaal Cyber Security Centrum over de mogelijke aanvallen en gevolgen:
Bij een webserver kan een aanvaller beschikken over alle broncode van de webapplicaties, wachtwoorden van systemen en klanten, sessiesleutels, afgeschermde informatie uit de webapplicatie en andere gevoelige informatie die door de webserver verwerkt wordt. Bij een mailserver kan een aanvaller beschikken over de inhoud van alle e-mail die op dat moment verwerkt wordt, wachtwoorden van gebruikers en andere gevoelige informatie die door de mailserver verwerkt wordt. Bij een VPN-server kan een aanvaller beschikken over de informatie die op dat moment verzonden of ontvangen wordt en (afhankelijk van de configuratie) over inloggegevens van gebruikers. Daarnaast kan de aanvaller beschikken over andere gevoelige informatie die door de VPN-server verwerkt wordt.
Op XKCD wordt het met onderstaande strip verhelderend uitgelegd:
Heartbleed: de omvang
Volgens een Web Server Survey van Netcraft maakt 66 procent van alle sites – ongeveer een half miljoen – gebruik van OpenSSL. Tweederde van alle servers kun je daarmee gerust bestempelen als onveilig. Reden voor massale paniek of deze Ron Swanson-actie is er echter (nog) niet. In de top-1000 van grootste websites waren er veertig vatbaar voor het lek. Bovendien hebben internetreuzen als Google en Facebook al een SSL-update doorgevoerd voordat het lek werd gepubliceerd, of hebben dat er vlak na gedaan. (FYI: OpenSSL versie 1.0.1g, uitgebracht op 7 april, is NIET meer vatbaar voor het heartbleed-lek.)
Heartbleed: welke site zijn getroffen?
Mashable heeft een handig lijstje gepubliceerd met grote Amerikaanse sites, waarin wordt aangegeven of ze getroffen zijn door de bug, een fix hebben doorgevoerd en of ze adviseren je wachtwoord te wijzigen. Facebook, Instagram, Tumblr, Pinterest en Yahoo zeggen daarop volmondig “yes”. Google zegt dat het niet hoeft, maar volgens de zoekmachinegigant kan een wachtwoordwijziging geen kwaad. Voor Google-diensten als Gmail, YouTube, Wallet, Play, apps en de App Engine is al een SSL-update doorgevoerd. Daarnaast kun je via deze online tool checken of een site last van heartbleed heeft. Voor Chrome is er de extensie Chromebleed die je automatisch waarschuwt als je een onveilige SSL-site bezoekt.
Een Amerikaanse toezichthouder heeft ondertussen banken opgeroepen snel maatregelen te nemen. Zij moeten voorkomen dat het beveiligingslek door criminelen wordt gebruikt om wachtwoorden voor internetbankieren te stelen.
Goed en duidelijk geschreven stuk!