InfoNu.nl > Nieuws uitgelicht… > Pc en internet > Heartbleed lek in OpenSSL: hoe bescherm je je gegevens?

Heartbleed lek in OpenSSL: hoe bescherm je je gegevens?

Heartbleed lek in OpenSSL: hoe bescherm je je gegevens? In april 2014 werd groot alarm geslagen vanwege het opduiken van een groot beveiligingslek met de naam Heartbleed. Dit lek of bug treft alle websites die de versleutelmethode OpenSSL gebruiken. Op deze manier is het tijden lang mogelijk geweest om onversleutelde data te achterhalen zonder dat gebruikers hier erg in hadden. Aangeraden wordt om alle wachtwoorden aangemaakt in de laatste twee jaar voor websites die OpenSSL gebruiken te veranderen.

Wat is Heartbleed?

In april 2014 werd een lek geconstateerd dat aanwezig is in alle versies van OpenSSL die zijn uitgekomen na 14 maart 2012. Het probleem bevindt zich om precies te zijn in de Transport Layer Security (TLS) Heartbeat Extension. Het lek is opgenomen in het Common Vulnerabilities and Exposures (CVE) als CVE-2014-0160. Het werd voor het eerst benoemd door een Fins cybersecurity bedrijf. Zij ontwierpen het later erg bekend geworden logo van een bloedend hart en lanceerden een website om informatie te verspreiden over de bug.

Hackers met kennis van dit lek kunnen een heartbeat request naar een serversturen om een reactie uit te lokken. Normaal komt dan dezelfde data terug, maar door een gebrek aan bounds checking verifieert OpenSSL dit verzoek niet op de manier zoals dit zou moeten en kunnen hacker zich toegang tot gegevens verschaffen. Het Finse bedrijf Codenomicon nam de proef op de som en brak bij zichzelf is. Ze slaagden erin toegang te krijgen tot X.509 certificaten, gebruikersnamen, wachtwoorden, e-mails en documenten zonder hierbij enig spoor achter te laten die hen als gebruiker zou kunnen attenderen op een inbraakpoging.

Waar bugs dagelijks komen en gaan zweeft de Heartbeat bug al jaren rond en heeft het grote hoeveelheden privé-informatie in gevaar kunnen brengen. Het Amerikaanse persbureau Bloomberg weet bovendien te melden dat de NSA al jaren op de hoogte was van het lek en het voor eigen gebruik heeft geëxploiteerd.

Op welke OpenSSL versies en besturingssystemen heeft Hearbleed effect?

Niet alle OpenSSL versies zijn kwetsbaar. OpenSSL 1.0.1 tot 1.0.1f zijn wel kwetsbaar. Niet kwetsbaar zijn de volgende versies:
  • OpenSSL 1.0.1g
  • OpenSSL 1.0.0
  • OpenSSL 0.9.8

De volgende besturingssystemen zijn gecompromitteerd door gebruik van een van de genoemde OpenSSL versies:
  • Debian Wheezy
  • Ubuntu 12.04.4 LTS
  • CentOS 6.5
  • Fedora 18
  • OpenBSD 5.3
  • FreeBSD 10.0
  • NetBSD 5.0.2
  • OpenSUSE 12.2

Hoe kom je erachter of jouw gegevens zijn gehackt?

Helaas is bijna iedere internetgebruiker direct of indirect slachtoffer van Heartbleed, juist omdat OpenSSL zo wijdverspreid is. Misbruik ervan laat echter geen sporen na waardoor je er niet achter kunt komen of iemand zich in het verleden toegang heeft verschaft tot jouw gegevens zoals gebruikersnamen en wachtwoorden.

De bekendste open source web servers die gebruik maken van deze software zijn Apache en nginx. Het wordt bovendien gebruikt voor veel e-mailservers zoals die met SMTP, POP en IMAP protocollen. Veel grote consumentenwebsites maken overigens gelukkig veelal geen gebruik van SSL/TLS.

Online is een overzicht beschikbaar van alle websites die gebruik maken van de kwetsbare OpenSSL versies. De meeste van deze websites hebben het lek in april 2014 al gepatched. Het gaat dan om websites als Google, Facebook, YouTube, Yahoo, Wikipedia, Bing, Pinterest en Blogspot. Er zijn ook diverse grote websites die nooit kwetsbaar zijn geweest omdat ze de betreffende software niet gebruikten. Websites die nooit op deze manier zijn gecompromitteerd zijn bijvoorbeeld LinkedIn, Twitter, PayPal, WordPress, MSN, Hulu en Apple.

Wat te doen om je gegevens te beschermen?

Veel gebruikers van OpenSSL websites maken zich terecht zorgen om de veiligheid van hun privégegevens. Dit is echter niet op te lossen door een update van de virusscanner. De reparatie moet verricht worden in OpenSSL bij de nieuwste versie OpenSSL 1.0.1g is dit dan ook al het geval. Omdat veel websites gebruik maken van deze versleutelmethode is men direct na het bekend worden van het lek met man en macht gaan werken aan het dichten ervan in de oudere versies.

Wat kun je dan doen wanneer bang bent dat je gegevens op straat zijn komen te liggen? Helaas kun je hier alleen maar aan symptoombestrijding doen. Beveiligingsexperts raden aan om alle wachtwoorden die je in de afgelopen twee jaar (sinds 14 maart 2012) hebt aangemaakt op websites die gebruik maken OpenSSL te wijzigen.

Perfect Forward Secrecy (PFS) lijkt te werken in de strijd tegen Heartbleed. Perfect Forward Secrecy is een eigenschap die ervoor zorgt dat voorgaande sleutels niet afgeleid kunnen worden uit gecompromitteerde sleutels. De hash-functie die erin gebruikt wordt zal telkens een nieuwe sleutel opleveren van waaruit de oude niet te berekenen is.

Lees verder

© 2014 - 2017 Dessal, het auteursrecht van dit artikel ligt bij de infoteur. Zonder toestemming van de infoteur is vermenigvuldiging verboden.
Gerelateerde artikelen
De populairste (en daarmee de slechtste) wachtwoorden 2011De populairste (en daarmee de slechtste) wachtwoorden 2011'qwerty' of '123456' als wachtwoord. Het lijkt een onverstandige keuze die maar veel mensen niet maken, maar dat valt to…
Keuze van wachtwoordKeuze van wachtwoordMensen die actief zijn op het Internet moeten tegenwoordig tientallen wachtwoorden onthouden. Voor sites zoals: Hyves, M…
Een wachtwoord beveiligt uw gegevensEen wachtwoord beveiligt uw gegevensDe meeste internetters denken te licht over het belang van een goed wachtwoord. Indien iemand anders de beschikking krij…
De slechtste wachtwoorden van 2011De slechtste wachtwoorden van 2011Wachtwoorden moeten uw persoonlijke gegevens beschermen. Op de kwaliteit van de wachtwoorden wordt vaak niet goed gelet.
Lijst van de 25 slechtste wachtwoorden van 2012Splashdata heeft weer zijn jaarlijkse lijst met de slechtste wachtwoorden onthuld. Mensen die deze wachtwoorden gebruike…
Bronnen en referenties
  • Inleidingsfoto: TBIT / Pixabay
  • HeartBleed - http://heartbleed.com/
  • Cnet - http://www.cnet.com/how-to/which-sites-have-patched-the-heartbleed-bug/
  • Wikipedia

Reageer op het artikel "Heartbleed lek in OpenSSL: hoe bescherm je je gegevens?"

Plaats als eerste een reactie, vraag of opmerking bij dit artikel. Reacties moeten voldoen aan de huisregels van InfoNu.
Meld mij aan voor de tweewekelijkse InfoNu nieuwsbrief
Infoteur: Dessal
Gepubliceerd: 12-04-2014
Rubriek: Nieuws uitgelicht…
Subrubriek: Pc en internet
Special: Antivirus
Bronnen en referenties: 4
Nieuws uitgelicht…
Deze rubriek bevat artikelen welke zijn geschreven naar aanleiding van een nieuwsfeit en kunnen daarom mogelijk gedateerde informatie bevatten.
Schrijf mee!