Het beveiligingslek Heartbleed van april 2014 is een misverstand, dat vindt Tammy Moskites, ciso en cio bij Venafi. Voor bedrijven was het lastig om te constateren welke systemen geïnfecteerd waren. Wanneer dit was vastgesteld, werd er gepatcht. Volgens Moskites werd de belangrijkste stap vergeten, namelijk het verwijderen en vervangen van de certificaten. 60 procent van de organisaties maakt nog steeds gebruik van de kwetsbare certificaten.
Begin april 2014 werd bekend dat een ernstig beveiligingslek, Heartbleed, in de Openssl-softwarebibliotheek zorgt voor een groot beveiligingsrisico voor websites. Hiermee kunnen hackers het ssl/tls-protocol kraken en versleutelde informatie stelen. ‘Bedrijven zijn maanden bezig geweest met het scannen van de systemen. Op basis van deze scans werd bepaald welke systemen eventueel geïnfecteerd waren en welke dus gepatcht moesten worden’, vertelt Moskites.
Echter zagen de bedrijven één belangrijke stap over het hoofd. Namelijk het verwijderen en vervangen van de certificaten. Zo bleek in april dit jaar dat 68 procent van de Nederlandse grote ondernemingen nog steeds kwetsbaar is voor Heartbleed. Moskites: ‘Tot op de dag van vandaag heeft 60 procent van alle organisaties nog steeds de certificaten niet vervangen. Voor nu levert dit misschien geen problemen op, maar organisaties zijn nog steeds niet veilig’. Moskites moedigt organisaties aan om alle certificaten te inventariseren en te beoordelen welke een probleem kunnen veroorzaken, en deze zo snel mogelijk te vervangen door andere certificaten.
Beveiligingsbeleid
Moskites helpt organisaties bij het opstellen van een beveiligingsbeleid. Eén van de kernpunten van een beveiligingsstrategie is het gebruik van beveiligingscertificaten. In het achtergrondverhaal ‘Belang van beveiligingscertificaat onbekend’, vertelt Moskites hoe zij zo’n strategie bepaalt.
Niet het certificaat, maar de private key moest worden vervangen. Als gevolg daarvan moet je ook je certificaat vervangen, maar alleen het certificaat vervangen helpt niks. Het certificaat was ook niet ‘kwetsbaar’ (die stuurt elke server je zelfs toe bij de handshake), maar de SSL software. Daardoor kon een aanvaller het geheugen van de server uitlezen en daarbij mogelijkerwijs de private key achterhalen.
Blijkbaar zit het misverstand ook bij Moskites. Leuke poging van Moskites om z’n bedrijf te promoten, maar een behoorlijk faalverhaal dit.
Ik heb het wel vaker zien gebeuren dat relatief eenvoudige beveiligingstechniek, omgetoverd werd in een wazig complex verhaal.
Zo’n certificaat is niet meer dan een driehoeksverhouding waarbij A garandeert dat B met C praat en C met B praat.
Ter verdediging van Moskites zou ik kunnen aandragen dat hij misschien bedoeld dat er informatie van de sleutels en certificaten gelekt zijn, voor het moment dat Heartbleed gepatched werd.