Begin deze week werd bekendgemaakt dat er een groot beveiligingslek in OpenSSL zit, genaamd de ‘Heartbleed bug’. Sindsdien doen allerlei alarmerende verhalen de ronde. Tienduizenden websites zouden onveilig zijn, waardoor het mogelijk is dat grote hoeveelheden privacygevoelige informatie openbaar is gemaakt. Om erger te voorkomen zou iedereen zijn wachtwoorden moeten veranderen! Maar belangrijker nog, bewaar de rust en raak niet in paniek.
Wat doet de Heartbleed bug?
OpenSSL wordt als encryptietechnologie gebruikt om het internetverkeer tussen servers en websites te versleutelen. Hierin is een bug ontdekt die al ruim twee jaar aanwezig blijkt te zijn. De fout zit in een extensie van de versleutelingstechnologie, die door programmeurs ‘Heartbeat’ wordt genoemd, vandaar de naam ‘Heartbleed’. Door deze bug kunnen kwaadwillenden een pakketje sturen naar de server, die vervolgens een pakketje met informatie terugstuurt. Normaal is deze beveiligd en afgesloten, maar dat kan nu worden omzeild. Hoe dit exact in z’n werk gaat, wordt briljant uitgelegd door een illustratie van XKCD.
Hoe is Heartbleed ontstaan?
Het lek is in maart 2012 ontstaan, doordat programmeur vergeten is een variabele toe te voegen. De bug werd door hem over het hoofd gezien, terwijl hij juist werkte aan een aantal verbeteringen voor OpenSSL. Zodoende werd de fout tegelijkertijd actief met talloze bugfixes en nieuwe functies die hij toegevoegde. In één van de nieuwe functies miste hij de validatie van een variabele. Zo blijkt uit een interview met de verantwoordelijke programmeur.
Wat te doen bij Heartbleed?
De Heartbleed bug wordt inmiddels als één van de grootste bedreigingen van de veiligheid op het internet ooit gezien. De bug heeft namelijk effect op een heleboel populaire websites en online diensten, zoals Facebook, Gmail, Amazon, etc. Dit komt omdat een heel groot deel van het internet gebruik maakt van OpenSSL.
Aangezien de fout al ruim twee jaar aanwezig is, kan het heel goed mogelijk zijn dat hier misbruik van is gemaakt. Hackers zouden bijvoorbeeld op deze manier online diensten kunnen zijn binnengedrongen, en geprobeerd hebben om wachtwoorden of creditcardgegevens buit te maken. De meningen zijn erover verdeeld, maar het lijkt verstandig om je wachtwoorden voor de getroffen websites te wijzigen. Het periodiek vervangen van wachtwoorden is sowieso aan te raden, om misbruik te voorkomen.
Welke websites zijn getroffen door Heartbleed?
De website Mashable heeft een handige inventarisatie gemaakt van een grote hoeveelheid populaire websites, met een overzicht of de Heartbleed bug effect heeft gehad op hun dienstverlening of niet. Voor een groot deel van deze veelgebruikte websites wordt toch aangeraden om het wachtwoord te wijzigen. Een vervelend karwei, maar niets aan te doen.
Voor Antagonist hebben we direct, na de bekendmaking, alles gecontroleerd en het lek gedicht. Tevens zijn al onze SSL-certificaten vervangen. Als je er niet zeker van bent of een website veilig is voor de Heartbleed bug, dan kun je gebruikmaken van een handige tool. Met deze tool kun je de URL van de ‘verdachte’ website invoeren, om te bekijken of deze al veilig is of niet.
P.S. Wil je op de hoogte blijven van alle artikelen, tips en trucs die verschijnen op ons blog? Dat kan! Rechts bovenin via RSS, e-mail, het liken van onze Facebook-pagina of het volgen op Twitter.