
Heartbleed mogelijk grootste internetlek ooit
Heartbleed is een probleem met OpenSSL, een stuk software dat een zogenoemde SSL/TLS-beveiliging kan toevoegen aan websites. Dat is op zijn beurt weer een beveiligingsprotocol dat gegevens, zoals wachtwoorden en creditcardnummers, versleutelt en daarmee beschermt tegen diefstal.
De bekendste uiting van SSL is het sleuteltje in de browserbalk: als die er staat (en het internetadres voorafgegaan wordt door https://) is er sprake van een SSL-verbinding met de betreffende website.
Nu blijkt dat veel sites met OpenSSL sinds mei 2012 kwetsbaar zijn door een programmeerfout. Die zit in de functie 'heartbeat' van OpenSSL, die beveiligde verbindingen openhoudt terwijl de gebruiker actief is.
Door die fout wordt informatie overhandigd die in het geheugen is opgeslagen wanneer dat niet de bedoeling is. Na een foutief heartbeat-verzoek stuurt de server een willekeurig stukje data mee, van 64k groot.
Als hackers dat vaak genoeg doen, kunnen ze de encryptiesleutels van de server in handen krijgen en al het beveiligde verkeer afluisteren. Zo zouden ze toegang kunnen krijgen tot wachtwoorden, creditcardnummers en nog veel meer informatie die beveiligd zou moeten zijn.
Getroffen sites
Heartbleed is dus niet zomaar een bug. Omdat OpenSSL door erg veel websites wordt gebruikt, zijn veel wachtwoorden en gegevens kwetsbaar.
Een aantal bedrijven wist al van de bug voordat deze openbaar werd gemaakt. Onder meer Facebook en Google hebben gezegd dat gebruikers hun wachtwoord niet hoeven te wijzigen, omdat zij de kwetsbaarheid al repareerden voordat hij openbaar werd.
Beveiligingsexperts wijzen echter op het risico dat criminelen al van de kwetsbaarheid wisten voordat die bedrijven er zelf achter kwamen. Daarom is het alsnog een goed idee om wachtwoorden te wijzigen.
Sommige bedrijven, zoals de Nederlandse banken, Linkedin en diensten van Microsoft, gebruiken helemaal geen OpenSSL. Daar hoeven wachtwoorden dus niet te worden gewijzigd.
Als sites hun eigen beveiliging nog niet hebben geüpdatet, werkt het veranderen van wachtwoorden mogelijk echter averechts. Het wordt voor hackers dan juist makkelijker om nieuwe wachtwoorden te vinden. In deze gevallen is het daarom het beste om de sites in kwestie niet te bezoeken totdat zij hun beveiliging op orde hebben.
Zelf testen
Er zijn verschillende manieren om te controleren welke sites zijn getroffen. Mashable stelde een overzichtelijke lijst van Amerikaanse sites op, op basis van de reacties van de bedrijven zelf.
Wie zelf een site wil testen kan op deze site het webadres invullen. De test laat direct weten of een site nog kwetsbaar is. Gebruikers van Google Chrome kunnen ook de extensie Chromebleed inzetten, die een waarschuwing toont als een onveilige site wordt bezocht.
Hoe erg is het écht?
Dat de Heartbleed-bug in theorie veel gegevens kwetsbaar heeft gemaakt, is duidelijk. Maar wat dat in de praktijk voor gevolgen zal hebben blijft vooralsnog onduidelijk.
De Canadese belastingdienst sloot zijn site helemaal en maakte het zo onmogelijk om nog aangifte te doen. Verder zijn er nog weinig directe gevolgen van de bug.
Toch zijn veel experts bezorgd. "Het is met gemak de ergste kwetsbaarheid sinds het massagebruik van het internet begon", zei ceo Matthew Prince van cybersecuritybedrijf Cloudflare tegen de Wall Street Journal.
Een onderzoeker van Kaspersky meldt tegenover persbureau Reuters dat door staten gesteunde hackersgroepen al misbruik probeerden te maken van de Heartbleed-bug kort voordat deze in de openbaarheid kwam. Sindsdien proberen steeds meer hackers hun slag te slaan.
"Het probleem is verraderlijk. Het is nu tijd voor de amateurs. Iedereen doet het." Het is dus het beste om het zekere voor het onzekere nemen.