Leveranciers van netwerkapparatuur Cisco en Juniper melden dat een deel van hun apparatuur kwetsbaar is voor een beveiligingslek in beveiligingsprotocol OpenSSL. De zogenoemde Heartbleed-bug werd eerder aangetroffen in webservers, pc's en consumenten-routers, maar blijkt nu ook de apparatuur van grootzakelijke leveranciers kwetsbaar te maken voor cybercriminelen.
Cisco meldt in een beveiligingsblog een lange lijst aan producten die het bedrijf onderzoekt op kwetsbaarheden. Ook Juniper deelt een lijst aan producten die worden onderzocht. Bij Juniper gaat het onder andere om vpn-producten.
Eerder meldde beveiligingsleverancier Vasco om uit voorzorg wachtwoorden te wijzigen.
Volgens beveiligingsexperts kan door de bug 64 kilobytes aan computergeheugen vrij eenvoudig aan kwaadwillenden geopenbaard worden. Zo kunnen niet alleen beveiligde gegevens worden onderschept, maar zouden mogelijk ook de geheime sleutels die gebruikt worden om de informatie te coderen, blootgesteld kunnen worden.
Hackers die de versleuteling kraken, zijn in principe in staat om al het beveiligde dataverkeer van de bijbehorende server te ontsleutelen, zonder enige sporen van misbruik op het systeem achter te laten. Ook gegevens die in het verleden onderschept zijn, en met dezelfde sleutel beveiligd waren, kunnen op deze manier achteraf nog gedecodeerd worden.
Lek al lang bekend
In discussies over Heartbleed wordt ook steeds vaker de vraag gesteld waarom het zo lang duurde voordat bedrijven of overheden aan de bel trokken over de risico’s van het beveiligingslek.
Het lek werd al in 2011 ontdekt door Neel Mehta van Google Security en is nu erkend door het OpenSSL-projectteam. Zij stellen dat alle versies tussen 1.0.1 en 1.0.2-beta kwetsbaar zijn. Gebruikers wordt met klem aangeraden om te upgraden naar de vrijgegeven versies 1.0.1g of 1.0.2-beta-2.
Ehm, nee. De bug was, voor zover we nu weten, niet al jaren bekend.
De bug bestond vanaf 2011 in de meest recente versies van OpenSSL. Wat we niet weten is of NSA, AIVD of andere criminele organisaties het eerder al hadden gevonden en het toen onder de pet hebben gehouden. De NSA beweerd van niet, maar ja…
Wat we zeker weten is dat Heartbleed deze maand werd gevonden en gepubliceerd door een werknemer van Google.
Redactie, graag even dit artikel http://en.wikipedia.org/wiki/Heartbleed doornemen, en de juiste informatie in het artikel plaatsen.
De bug is in 2011 in de OpenSSL code geintroduceerd, en pas 1 april door Neel Mehta aan OpenSSL doorgegeven.