Heartbleed: wat je moet weten over het 'grootste internetlek ooit'

De afgelopen dagen gonzen de berichten over het internet: door een bug met de naam Heartbleed zijn onze wachtwoorden niet meer veilig.

Heartbleed is een probleem met OpenSSL, een stuk software die zogenoemde SSL/TLS-beveiliging kan toevoegen aan websites. Dat is op zijn beurt weer een beveiligingsprotocol dat gegevens, zoals wachtwoorden en creditcardnummers, versleutelt en daarmee beschermt van diefstal.

Zelfs als je nog nooit van SSL hebt gehoord ben je waarschijnlijk wel bekend met het sleuteltje in je browserbalk: als die er staat (en het internetadres voorafgegaan wordt door https://) heb je een SSL-verbinding met een website.

Nu is gebleken dat veel sites met OpenSSL sinds mei 2012 kwetsbaar zijn door een programmeerfout. Die zit in de functie 'heartbeat' van OpenSSL, die beveiligde verbindingen openhoudt terwijl de gebruiker actief is.

Een fout daarin overhandigt informatie dat in het geheugen is opgeslagen wanneer dat niet de bedoeling is. Na een foutief heartbeat-verzoek stuurt de server een willekeurig stukje data mee, van 64k groot. Als hackers dat vaak genoeg doen kunnen ze de encryptiesleutels van de server in handen krijgen en al het beveiligde verkeer afluisteren. Zo zouden ze toegang kunnen krijgen tot wachtwoorden, creditcardnummers en nog veel meer informatie die beveiligd zou moeten zijn.

Welke sites zijn getroffen?

Heartbleed is dus niet zomaar een bug. Omdat OpenSSL door erg veel websites wordt gebruikt, zijn veel wachtwoorden en gegevens kwetsbaar. Een aantal bedrijven wist al van de bug voordat deze openbaar werd gemaakt. Onder meer Facebook en Google hebben gezegd dat gebruikers hun wachtwoord niet hoeven te wijzigen, omdat zij de kwetsbaarheid al repareerden voordat hij openbaar werd.

Beveiligingsexperts wijzen echter op het risico dat criminelen al van de kwetsbaarheid wisten voordat die bedrijven er zelf achter kwamen. Daarom is het alsnog een goed idee om je wachtwoord te wijzigen.

Sommige bedrijven, zoals de Nederlandse banken, Linkedin en diensten van Microsoft, gebruiken helemaal geen OpenSSL. Daar hoeven wachtwoorden dus niet te worden gewijzigd.

Als sites hun eigen beveiliging nog niet hebben geüpdatet werkt het veranderen van wachtwoorden mogelijk alleen averechts. Je maakt het dan voor hackers juist makkelijker om je nieuwe wachtwoord te vinden. In deze gevallen is het daarom het beste om de sites in kwestie niet te bezoeken totdat zij hun beveiliging op orde hebben.

Zelf testen

Er zijn verschillende manieren om te checken welke sites zijn getroffen. Mashable stelde hier een overzichtelijke lijst van Amerikaanse sites op, op basis van de reacties van de bedrijven zelf.

Wil je zelf een site testen, dan kun je op deze site het webadres invullen. De test laat direct weten of een site nog kwetsbaar is. Gebruikers van Google Chrome kunnen ook de extensie Chromebleed inzetten, die een waarschuwing toont als een onveilige site wordt bezocht.

Wie wachtwoordbeheerder Lastpass gebruikt, kan zijn wachtwoordendatabase automatisch laten scannen. Die functie toont dan automatisch welke wachtwoorden kwetsbaar zijn geweest en of het al wordt aangeraden om je wachtwoord te veranderen.

Bijkomend voordeel van Lastpass is dat je wachtwoorden makkelijk kunt wijzigen in een ingewikkelde letter- en cijfercode, zonder het risico te lopen dat je deze vergeet. Zolang je je Lastpass-wachtwoord onthoudt, kun je altijd nog zien wat je wachtwoord is en de extensies van de dienst vullen deze automatisch in.

Meer over diensten als Lastpass lees je in ons artikel 'Vier manieren om wachtwoorden veilig op te slaan'.

Hoe erg is het nou écht?

Dat de Heartbleed-bug in theorie veel gegevens kwetsbaar heeft gemaakt, is duidelijk. Maar wat dat in de praktijk voor gevolgen zal hebben blijft vooralsnog onduidelijk. 

De Canadese belastingdienst sloot zijn site helemaal en maakte het zo onmogelijk om nog aangifte te doen. Verder zijn er echter nog weinig directe gevolgen van de bug.

Toch zijn veel experts bezorgd. "Het is met gemak de ergste kwetsbaarheid sinds het massagebruik van het internet begon", zei ceo Matthew Prince van cybersecuritybedrijf Cloudflare tegen de Wall Street Journal.

Een onderzoeker van Kaspersky meldt tegenover persbureau Reuters dat door staten gesteunde hackersgroepen al misbruik probeerden te maken van de Heartbleed-bug kort voordat deze in de openbaarheid kwam. Sindsdien proberen steeds meer hackers hun slag te slaan.

"Het probleem is verraderlijk. Het is nu tijd voor de amateurs. Iedereen doet het." Je kan beter dus maar het zekere voor het onzekere nemen.

Lees meer over:
Tip de redactie