Heartbleed: de ultieme nachtmerrie van het web?

heartbleed

U heeft het ongetwijfeld al gelezen op de betere nieuwssites: een nieuw en gevaarlijk beveiligingslek genaamd Heartbleed is opgedoken waardoor uw gegevens onderschept kunnen worden. Maar wat is het nu precies en kan u er eigenlijk wel iets tegen doen?

Het is gemakkelijk om meegesleept te worden in de stroom van "wat dan nog?"- reacties over het ontdekken van deze kwetsbaarheid. Mensen denken al te gemakkelijk dat dit weer zoiets is als het I Love You virus dat een weekje paniek zal veroorzaken en dan wel weer over gaat. Vergis u echter niet: Heartbleed is dan wel geen virus waar u rechtstreeks mee te maken krijgt, het heeft echter wel het potentieel om een heel groot probleem te zijn. Velen noemen het nu al de ultieme nachtmerrie voor het web.

 

Maar wat is Heartbleed nu eigenlijk? In technische termen is het een zogenaamde 'vulnerability', een beveiligingslek dus. Aan het hart (no pun intended) van het probleem ligt het woord encryptie. Encryptie is helemaal niet nieuw : encryptie werd bijvoorbeeld al gebruikt in WO2 om geheime berichten te versturen zonder dat dit onderschept kon worden. Correctie : zelfs al konden spionnen de berichten onderscheppen, dan nog konden ze deze niet ontcijferen zonder een zogenaamde 'encryption key' : een decodeersleutel.

 

heartbleed

Fast-forward naar vandaag. 

 

Het internet wemelt van hackers en andere personen met kwaadaardige bedoelingen die uit zijn op uw gevoelige informatie zoals kredietkaartinformatie, e-mailadressen, bankrekeningnummers en dergelijke. Om al deze gegevens op een veilige manier te kunnen verzenden werd Secure Sockets Layer in het leven geroepen (SSL) en enkele jaren later zijn opvolger Transport Layer Security (TSL). Dit protocol zorgt ervoor dat alle data die tussen een verzender en een ontvanger plaats vindt wordt versleuteld met een encryptiesleutel. Enkel als men de juiste sleutel heeft kan met het bericht ontcijferen, anders is het bericht voor een buitenstaander een hoop nonsens.

 

Er zijn verschillende manieren waarop een website of een applicatie SSL/TSL kan aanbieden aan zijn gebruikers. De meest voorkomende manier is echter het gebruik van OpenSSL. Dat is een opensource project dat SSL aanbiedt. De term opensource zal u wel bekend in de oren klinken als u bvb aan Linux en Drupal denkt. In principe komt het erop neer dat OpenSSL gratis en makkelijk aanpasbaar is.

 

OpenSSL is zodanig populair geworden dat het standaard geleverd wordt met Linux distributies zoals Ubuntu en Debian. Deze versies van Linux worden zeer vaak gebruikt bij webservers. Alsof dit nog niet genoeg lijkt is OpenSSL ook met heel wat andere applicaties verbonden, denken we hierbij aan emailprogramma's, instant messaging services, routers en (schrik niet) ook printers worden al met OpenSSL geleverd. Een recente schatting leert ons dat ongeveer 66% van het webverkeer op de één of andere manier met OpenSSL te maken heeft, wat een verontrustend cijfer is. Het is intussen duidelijk : zelfs al hebt u de term SSL nog nooit gehoord, u gebruikt het wellicht dagelijks.

 

typex

De Typex werd door de Britten gebruikt om gecodeerde berichten te verzenden en was gebaseerd op de Enigma.

 

OpenSSL : niet zo veilig als eerst gedacht.

 

Dus nu weet u wat OpenSSL is en dat het een groot deel van uw online leven uitmaakt. Stelt u zich nu eens voor dat er een fout in OpenSSL zat? En dat net dat ene foutje ervoor kon zorgen dat een hacker niet alleen de decodeersleutel kon ontfutselen en al uw communicatie kon ontcijferen maar dat hij dat ook nog ongezien kan doen? Dit nachtmerrie scenario draagt de naam Heartbleed. De fout die dinsdag ontdekt werd is op zich al erg genoeg, maar het kan nog erger : onderzoek heeft aangetoond dat deze fout zich al vanaf december 2011 in OpenSSL bevond! Dat is op z'n zachtst gezegd een onthutsende gedachte!

 

Meteen vertel ik er nu wel bij dat niet iedere webserver of applicatie OpenSSL gebruikt. Ook de servers en programma's die een oudere versie van OpenSSL geinstalleerd hadden werden uiteraard niet getroffen. Maar toch is de laatste schatting van 66% iets om over na te denken : dit betekent dat 2 op 3 websites die gegevens versleuteld verzonden dit via OpenSSL deden, al dan niet met de nieuwste versie met deze fout in.

 

Het goede nieuws is dat er geen echte indicatie is dat hackers deze achterdeur eerder ontdekt hebben dan de beveiligingsmensen die aan de alarmbel getrokken hebben.

 

 

Hoe lost men dit nu op?

 

Uiteraard is Heartbleed enkel een probleem als de webserver OpenSSL geïnstalleerd had en deze ook actief gebruikte. Iedere webserver die één van de talloze anders SSL protocollen gebruikte bleef (en blijft) buiten schot.

 

Intussen is de fout uit OpenSSL gehaald. Elke Linux distributie heeft in de afgelopen twee dagen een beveiligingsupdate ontvangen die dit probleem oplost. Gelukkig wordt dit wereldwijd zeer goed opgevolgd. Grote websites zoals Amazon en Facebook hebben hun servers al aangepast en open gecommuniceerd met het publiek over de impact ervan, wat wij ten zeerste toejuichen.

 

Er kan echter een vals gevoel van veiligheid optreden na het toepassen van de update. Na de update is de fout dan weliswaar verholpen, maar er zou ook naar de bestaande sleutels gekeken moeten worden en deze desnoods vervangen. Veel websites zoals Wunderlist hebben deze stap al genomen en verplichten hun gebruikers al om een nieuw wachtwoord in te geven wat resulteert in de aanmaak van een nieuwe encryptiesleutel. Anders gezegd : bij het volgende gebruik van hun diensten wordt u verplicht om een nieuw wachtwoord in te geven vooraleer u verder met die dienst kunt werken

 

Deze maatregel neemt heel wat tijd in beslag. Het is bewonderenswaardig dat vele websites en online diensten zulke maatregel doorvoeren : het levert hen een berg extra werk en kosten op.

 

heartbleed

 

Spijtig genoeg kiezen enkele grote sites en diensten ervoor om deze maatregel niet door te voeren. Zij vrezen namelijk dat indien ze gebruikers verplichten een nieuw wachtwoord te kiezen, zij vele klanten zullen verliezen. Zij wachten liever af tot de decodeersleutels vanzelf aflopen (deze sleutels hebben een levensduur) om dan pas nieuwe aan te maken. 

 

Wat kunt U ertegen doen?

 

Jammer genoeg kunt u aan de fout in OpenSSL zelf niets doen. Het is namelijk  de verantwoordelijkheid van de serverbeheerders om de update toe te passen en het systeem veilig te houden.

U kunt zelf een snelle controle doen of een website of dienst de Heartbleed fout op zijn server heeft via deze online tool. Vul gewoon het webadres van de dienst in en klik op Go. 

heartbleed

 

Als u vreest dat een dienst die u gebruikt slachtoffer was van Heartbleed dan raden wij u maar één ding aan: verander zo snel mogelijk uw wachtwoord op die dienst! Vraag ondertussen ook gerust  wat zij al ondernomen hebben om Heartbleed tegen te gaan. Er is niets onzinniger dan een wachtwoord te veranderen op een systeem dat nog niet gepatched is, aangezien de volgende hacker in de rij opnieuw de decodeersleutel kan stelen.

 

Het zit in onze natuur om een zekere repetitie in ons leven in te bouwen. Jammer genoeg is dat voor onze wachtwoorden niet zo'n goed idee. Gebruik daarom voor iedere website een verschillend wachtwoord.

 

Mocht u net als ons moeite hebben om veilige wachtwoorden uit te vinden én deze te onthouden raden wij u zeker diensten zoals Lastpass en 1Password aan. Het uitleggen van deze diensten zou deze lange blogpost tienmaal langer maken, maar het komt erop neer dat wachtwoorden automatisch gegenereerd en opgeslagen worden. Als u naar een site surft waar inloggen nodig is, haalt het programma de informatie uit een kluis en verschaft u toegang tot de site. U opent het programma door (u raadt het al) een wachtwoord in te geven, zorg er dan ook voor dat deze veilig genoeg is.

 

Meer info :