Een ernstig beveiligingslek in de OpenSSL-softwarebibliotheek, zorgt voor een groot beveiligingsrisico voor websites. Hackers kunnen het ssl/tls-protocol kraken en versleutelde informatie stelen. De fout zit al sinds 2011 in de code, maar nu trekt het OpenSSL-projectteam aan de bel omdat de omvang van het beveiligingsrisico mogelijk groot is. Het lek met de officiële naam CVE-2014-0160 wordt ook Heartbleed genoemd.
Rob van der Mei, van Hosting in Nederland schrijft in een blog: ‘Als gevolg van missende gegevensvalidatie in de zogeheten ‘Heartbeat’-extensie, kan tot wel 64 kilobytes aan computergeheugen vrij eenvoudig aan kwaadwillenden geopenbaard worden. Zo kunnen niet alleen beveiligde gegevens worden onderschept, maar zouden mogelijk ook de geheime sleutels die gebruikt worden om de informatie te coderen, blootgesteld kunnen worden.’
Volgens Van der Mei zijn hackers die de versleuteling kraken in principe in staat om al het beveiligde dataverkeer van de bijbehorende server te ontsleutelen, zonder enige sporen van misbruik op het systeem achter te laten. Ook gegevens die in het verleden onderschept zijn, en met dezelfde sleutel beveiligd waren, kunnen op deze manier achteraf nog gedecodeerd worden. Via een Heartbleed tool kan getest worden of een website kwetsbaar is.
Het lek werd aanvankelijk ontdekt door Neel Mehta van Google Security en is nu erkend door het OpenSSL-projectteam. Zij stellen dat alle versies tussen 1.0.1 en 1.0.2-beta kwetsbaar zijn. Gebruikers wordt met klem aangeraden om te upgraden naar de vrijgegeven versies 1.0.1g of 1.0.2-beta-2.
Internetbankieren
Volgens Van der Mei zorgt het lek ’terecht’ voor de nodige paniek: ‘OpenSSL wordt in veel software toegepast, van web- en e-mail-servers tot chatsoftware en mobiele apps. Daar komt bij dat veel populaire besturingssystemen, zoals Ubuntu, Debian, CentOS en Fedora, op het moment van de aankondiging nog niet direct een update beschikbaar hadden, omdat ze niet van tevoren zijn ingelicht.’
De precieze impact van het beveiligingslek is nog onduidelijk. ‘Het is eveneens lastig, zo niet onmogelijk, in te schatten welke partijen gebruik maken van kwetsbare OpenSSL-versies. ‘Dat de meeste Nederlandse banken van de software gebruik maken, is echter zeer aannemelijk: OpenSSL is bij veel van hen immers een vereiste bij het opzetten van een koppeling met het iDeal-betaalsysteem’, stelt Van der Mei.
Waar nog niemand antwoord op kan geven is dit.
Veel online diensten hebben mogelijkheden om jouw data te benaderen vanuit andere diensten.
Deze diensten gebruiken vaak tokens (geheimen) waarmee dienst X de data op kan vragen van gebruiker Y op dienst Z.
Nu krijg je overal wel het advies dat NA de OpenSSL gepatched is en NA het vernieuwen van het SSL (HTTPS) certificaat je je wachtwoord moet wijzigen.
Mijn inzicht zegt dus dat je ook alle tokens voor externe diensten moet verwijderen en opnieuw aanmaken, want die tokens zijn natuurlijk ook mogelijk gelekt. Ik hoor daar niemand over.