Beveiligingslek Heartbleed gevonden in OpenSSL, maar wat nu?

Beveiligingslek OpenSSL: logo HeartbleedBegin deze week werd bekendgemaakt dat er een groot beveiligingslek in OpenSSL zit, genaamd de ‘Heartbleed bug’. Sindsdien doen allerlei alarmerende verhalen de ronde. Tienduizenden websites zouden onveilig zijn, waardoor het mogelijk is dat grote hoeveelheden privacygevoelige informatie openbaar is gemaakt. Om erger te voorkomen zou iedereen zijn wachtwoorden moeten veranderen! Maar belangrijker nog, bewaar de rust en raak niet in paniek.

Wat doet de Heartbleed bug?

OpenSSL wordt als encryptietechnologie gebruikt om het internetverkeer tussen servers en websites te versleutelen. Hierin is een bug ontdekt die al ruim twee jaar aanwezig blijkt te zijn. De fout zit in een extensie van de versleutelingstechnologie, die door programmeurs ‘Heartbeat’ wordt genoemd, vandaar de naam ‘Heartbleed’. Door deze bug kunnen kwaadwillenden een pakketje sturen naar de server, die vervolgens een pakketje met informatie terugstuurt. Normaal is deze beveiligd en afgesloten, maar dat kan nu worden omzeild. Hoe dit exact in z’n werk gaat, wordt briljant uitgelegd door een illustratie van XKCD.

Beveiligingslek OpenSSL: uitleg hoe Heartbleed werkt

Hoe is Heartbleed ontstaan?

Het lek is in maart 2012 ontstaan, doordat programmeur vergeten is een variabele toe te voegen. De bug werd door hem over het hoofd gezien, terwijl hij juist werkte aan een aantal verbeteringen voor OpenSSL. Zodoende werd de fout tegelijkertijd actief met talloze bugfixes en nieuwe functies die hij toegevoegde. In één van de nieuwe functies miste hij de validatie van een variabele. Zo blijkt uit een interview met de verantwoordelijke programmeur.

Verder lezen