Beheer

Security
Heartbleed

Heartbleed-bug zorgt voor veel werk

© Heartbleed
18 april 2014

 

 

Robin Seggelman vergat op één punt een validatiecheck in het Heartbeat-mechanisme in OpenSSL, dat in een vraag-antwoordsysteem beveiligde sessies in stand houdt. En net daardoor kon een hacker een server verleiden 64 kilobyte geheugen­inhoud terug te sturen. Daarin kon van alles zitten, van gebruikersnamen en wachtwoorden tot de encryptiesleutels van de site. Dat dat te misbruiken is, ondervond de Canadese belastingdienst; die moest maatregelen nemen na een hack via deze Heartbleed-bug.

Alleen een patch verhelpt het probleem niet. Met wachtwoorden en gebruikersnamen kan een hacker dan nog uit de voeten. Met encryptiesleutels van de site kan hij zelfs een nepsite opzetten die niet van echt te onderscheiden is. De enige remedie is vervangen van de certificaten, om dan alle wachtwoorden te (laten) resetten.

De omvang van het probleem was verbijsterend. Zeker 500.000 websites bleken de kwetsbare OpenSSL-variant te gebruiken, schatte Netcraft. Een week na het uitlekken van de bug hadden nog maar 80.000 daarvan maatregelen genomen. Onder de getroffenen zaten Facebook en Google. Ook Dropbox en Amazon Web Services hadden de lekke OpenSSL-variant gebruikt.

Maar de Heartbleed bug blijkt op veel meer plekken gaten in de beveiliging te prikken. Zo bleken alle mobiele telefoons met Android-versie 4.1.1. kwetsbaar. Toestellen met Android 4.2.2 waren in sommige gevallen niet veilig wanneer de telecomaanbieder zelf het besturingssysteem had aangepast. En BlackBerry’s messenger app voor iOS, Mac OSX, Android en Windows maakte ook gebruik van de onveilige versie van OpenSSL.

De firmware van veel Cisco en Juniper-netwerkapparatuur bleek kwetsbaar. De bug dwong ook eigenaren van servers van Dell, HP en IBM tot actie. En veel producten van VMware leden aan de Heartbleed-bug, net als sommige VPN-verbindingen, Java ME, MySQL, Linux 6 en Solaris 10.2. Of de lijst daarmee compleet is, is onduidelijk. Het is daarom voor beheerders zaak, berichtgeving van hun leveranciers van producten met mogelijk OpenSSL erin nauwgezet te volgen.

 

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!