Heartblead-bug, wat betekent dat voor mij?
De laatste tijd is er nogal wat publiciteit rond de zogenaamde 'Heartbleed' bug. Wat is er nou eigenlijk aan de hand?
Het blijkt dat er in een veel gebruikt stuk programmatuur (OpenSSL) dat zorgt voor de beveiliging van dataverkeer dat onder andere door veel websites wordt gebruik (het 'slotje' in je browser) een ernstige fout zit waardoor hackers de boel kunnen onderscheppen. Is dat erg? Ja! In principe houdt dit in dat bijvoorbeeld gegevens die je gebruikt voor online diensten onderschept kunnen worden. Het is extra vervelend dat deze bug al 2 jaar lang in deze programmatuur zit voordat hij ontdekt cq openbaar gemaakt is. Of er in die tijd hackers misbruik hebben gemaakt van deze bug is niet duidelijk… Deze software wordt onder andere gebruikt door Facebook. Google en iDeal.
Wat is er aan de hand
Een van de programmeurs die meewerkt aan het 'OpenSSL' project heeft een kleine, maar gevaarlijke fout gemaakt. Deze fout is tijdens testen niet naar boven gekomen en deze programmatuur is op talloze sites en apparaten geïnstalleerd. De fout komt eigenlijk hier op neer:
Om een beveiligde verbinding te maken en in stand te houden tussen computers wordt een zogenaamde 'Heartbeat' gebruiken (vandaar de naam van de bug…). Er worden door de computer van de gebruiker steeds berichtjes gestuurd om te controleren of de verbinding nog in tact is. De opdracht, in woorden, komt neer op "Server, als je er nog bent, stuur dan dit bericht van zes tekens terug: 'Joehoe' " (of een ander door de gebruiker gekozen bericht van een willekeurige lengte).
Vanwege de programmeerfout wordt niet gecontroleerd of de gevraagde lengte (hier zes tekens) overeenkomt met het bericht (hier 'Joehoe', wat inderdaad zes tekens telt) en kan de aanvaller een langer bericht terugvragen (en krijgen) dan aanvankelijk naar de server is gestuurd. De extra tekens komen dan rechtstreeks uit het geheugen van de server dat zich na het ingestuurde bericht bevindt. Dit geheugen kan allerlei gegevens bevatten waarvan het niet de bedoeling is dat die worden teruggestuurd. Vaak zal dit waardeloze data zijn, maar als je het vaak genoeg probeert kom je altijd wel iets interessants tegen en kan deze data gebruikersnamen en wachtwoorden bevatten, maar ook private keys van beveiligingscertificaten. Bron: wikipedia
Wat houdt dat nou in?
Een aantal grote organisaties zijn al op de hoogte gebracht van deze bug voordat het publiek bekend werd gemaakt. Zij hebben dus de gelegenheid gekregen om het gat in hun servers te dichten. Er is inmiddels een verbeterde versie van OpenSSL uitgebracht 1.0.1g en veel sites zijn inmiddels aangepast.
Draai je een eigen server die verbonden is met internet en draaien er op deze servers toepassingen die gebruik maken van OpenSSL dan loop je mogelijk gevaar en zul je zelf het gat moeten dichten. Volgens informatie van Apple lopen hun servers in principe geen gevaar, maar daar kunnen wel programma's op draaien die het lek bevatten. Ook servers van Microsoft en Linux servers zijn kwetsbaar. In veel gevallen heeft de leverancier een update beschikbaar.
Wat moet je doen?
De meeste grote aanbieders hebben hun servers inmiddels wel aangepast maar vooral de wat kleinere diensten kunnen kwetsbaar zijn. Bepaalde netwerkapparatuur en bepaalde versies van Android blijken ook gevoelig voor deze bug. Eén gouden tip kunnen we je alvast meegeven: gebruik nooit hetzelfde wachtwoord voor verschillende accounts. Het heeft overigens pas zin om je wachtwoorden te veranderen als het lek op de betreffende server is gedicht.
Het is ons bekend dat in elk geval bepaalde versies van o.a. Icewarp (voorheen Merak) mailserver, Kerio mailserver, Filemaker Server, Rumpus (Windows), PureFTP gevoelig zijn voor deze bug. Ook is bekend gemaakt dat er een patch is voor bepaalde Apple Airports.
Wij kunnen testen of je netwerk gevoelig is voor deze bug, en indien nodig en noodzakelijk de updates uitvoeren.
In elk geval zijn de deskundigen het er over eens dat dit een zeer serieus probleem is wat zeker niet onderschat moet worden.