Een ernstig beveiligingslek in de OpenSSL-softwarebibliotheek, zorgt voor een groot beveiligingsrisico voor websites. Hackers kunnen het ssl/tls-protocol kraken en versleutelde informatie stelen. De fout zit al sinds 2011 in de code, maar nu trekt het OpenSSL-projectteam aan de bel omdat de omvang van het beveiligingsrisico mogelijk groot is. Het lek met de officiële naam CVE-2014-0160 wordt ook Heartbleed genoemd.
Rob van der Mei, van Hosting in Nederland schrijft in een blog: ‘Als gevolg van missende gegevensvalidatie in de zogeheten ‘Heartbeat’-extensie, kan tot wel 64 kilobytes aan computergeheugen vrij eenvoudig aan kwaadwillenden geopenbaard worden. Zo kunnen niet alleen beveiligde gegevens worden onderschept, maar zouden mogelijk ook de geheime sleutels die gebruikt worden om de informatie te coderen, blootgesteld kunnen worden.’
Volgens Van der Mei zijn hackers die de versleuteling kraken in principe in staat om al het beveiligde dataverkeer van de bijbehorende server te ontsleutelen, zonder enige sporen van misbruik op het systeem achter te laten. Ook gegevens die in het verleden onderschept zijn, en met dezelfde sleutel beveiligd waren, kunnen op deze manier achteraf nog gedecodeerd worden. Via een Heartbleed tool kan getest worden of een website kwetsbaar is.
Het lek werd aanvankelijk ontdekt door Neel Mehta van Google Security en is nu erkend door het OpenSSL-projectteam. Zij stellen dat alle versies tussen 1.0.1 en 1.0.2-beta kwetsbaar zijn. Gebruikers wordt met klem aangeraden om te upgraden naar de vrijgegeven versies 1.0.1g of 1.0.2-beta-2.
Internetbankieren
Volgens Van der Mei zorgt het lek ’terecht’ voor de nodige paniek: ‘OpenSSL wordt in veel software toegepast, van web- en e-mail-servers tot chatsoftware en mobiele apps. Daar komt bij dat veel populaire besturingssystemen, zoals Ubuntu, Debian, CentOS en Fedora, op het moment van de aankondiging nog niet direct een update beschikbaar hadden, omdat ze niet van tevoren zijn ingelicht.’
De precieze impact van het beveiligingslek is nog onduidelijk. ‘Het is eveneens lastig, zo niet onmogelijk, in te schatten welke partijen gebruik maken van kwetsbare OpenSSL-versies. ‘Dat de meeste Nederlandse banken van de software gebruik maken, is echter zeer aannemelijk: OpenSSL is bij veel van hen immers een vereiste bij het opzetten van een koppeling met het iDeal-betaalsysteem’, stelt Van der Mei.
Volgens mijn info zijn 1.0.1f en 1.0.2beta-1 ook lek…upgrade naar 1.0.1g of 1.0.2beta-2 zou de remedie zijn volgens http://www.openssl.org/news/secadv_20140407.txt
volgens openssl:
Fixed in OpenSSL 1.0.1g (Affected 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1)
@redaktie
Link naar ideal-pdf (laatste) is dood, 404.
@Jan van Leeuwen, bedankt voor de melding. Blijkbaar heeft de Rabobank de documenten snel offline gehaald. De link is reeds uit het bronbericht verwijderd.
Een kwadratische DigiNotar case! En volgens mij maken niet alleen banken hier gebruik van maar ook de meeste cloud oplossingen, de natte droom van de NSA en andere inlichtingsdiensten;-)
Nuttig.
Blijkbaar hebben veel kleine routers en sommige niet gepatchte Linux desktops van consumenten en kleine bedrijfjes hetzelfde probleem. Beide kanten van de verbinding kunnen in de problemen komen. Een verbinding met één open kant is natuurlijk reeds een linke zaak.
Als je router van een internetaanbieder is, dan moet je hopen dat die voor het patchen zorgt als dat nodig is. Ook kan je er zelf een eigen router achter zetten. Dan kan je zo nodig zelf de firmware updaten. Hebben we ook gedaan.
En het beveiligingslek Heartbleed werd intussen ook al een paar jaar door de NSA benut en door wie nog meer. Niet alle overheidsinstellingen werken mee aan veiligheid van het Internet. Dit zijn DDR-toestanden, leidend tot collaboratie met criminelen.
In het algemeen geldt dat het beter is om niet teveel te publiceren vanuit het os naar internet. Zoals versie, geladen extensies etc…. een beetje security by obscurity kan geen kwaad. Uiteindelijk is beveiliging toch nog altijd een combinatie van kennis (waar zit de deur) en bezit (sleutel).
@John Dat vond ik nog het malste bericht, dit lek zou al een tijd bekend zijn bij de NSA. Dat is toch wel heel bar, dat is de staat als je vijand.