Het lijkt alsof er iedere week wel een nieuwe lek is die miljoenen wachtwoorden van een populaire online service op straat gooit; deze week is daar geen uitzondering op. Afgelopen dinsdag werd een grote lek ontdekt in OpenSSL – de standaard browser-encryptie die door ongeveer tweederde van de servers op internet wordt gebruikt. Het lek is Heartbleed gedoopt en geeft toegang tot de persoonlijke data van miljoenen gebruikers.
Wat is Heartbleed?
Heartbleed werd ontdekt door een beveiligingsbedrijf genaamd Codenomicon en Google onderzoeker Neel Mehta en komt voor in sommige versies van de OpenSSL software die de beveiliging van veel grote websites regelt. Het lek zit in een extensie die het voor websites mogelijk maakt om een beveiligde verbinding voor langere tijd open te hebben staan. Hackers kunnen door misbruik te maken van dit mechanisme data lezen en verzamelen die wordt opgeslagen in het geheugen van het systeem. Codenomicon noemt het:
A serious vulnerability that allows anyone on the Internet read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content.
Het slotje dat je in de URL balk ziet als je gebruikt maakt van een beveiligde verbinding zou moeten aangeven dat externe partijen de informatie die je verstuurt of ontvangt niet kunnen lezen. Met behulp van SSL wordt namelijk de data vervormd tot een gecodeerd bericht dat alleen jij als ontvanger kunt ontcijferen. Door Heartbleed is het echter mogelijk om je voor te doen als de ontvanger om zo ook toegang te krijgen tot de beveiligde berichten.
Volgens The Guardian bestaat Heartbleed als sinds 2011 en is het niet duidelijk of er al eerder misbreuk van is gemaakt. Mocht dat wel zo zijn dan betekent het dus dat hackers al ruim twee jaar toegang hebben tot allerlei beveiligde gegevens.
Wat betekent dit?
OpenSSL wordt gebruikt door ongeveer tweederde van de servers op het internet zoals Yahoo, de datingsite OKCupid en de afbeeldingen-site Imgur (waar via ook de meeste afbeeldingen op Reddit worden gedeeld). Yahoo maakte dinsdagavond duidelijk dat veel van de lekken op haar belangrijkste websites inmiddels gedicht zijn. Het lek maakt het mogelijk voor hackers om toegang te krijgen tot persoonlijke informatie zoals login-gegevens, wachtwoorden en andere belangrijke data van dat soort websites. The Guardian omschrijft Heartbleed zelfs als:
Servers vulnerable to Heartbleed are less secure than they would be if they simply had no encryption at all.
Juist omdat het gaat om een simpele fout bij het programmeren is het lek zo problematisch. Dat betekent namelijk dat er geen cryptografie nodig is om toegang te krijgen tot de data en het dus praktisch kinderspel is om wachtwoorden te ontcijferen.
Volgens Ars Technica is OpenSSL: “by far the most popular open-source cryptographic library and TLS implementation […] which runs 66 percent of [all] websites.” Anonimiteits-software Tor raadt mensen die belang hebben bij anonimiteit en privacy daarom zelfs aan om even een paar dagen weg te blijven van het internet totdat alles is opgelost.
Wie heeft er last van?
Tot nu toe bevestigde websites die te maken hebben met Heartbleed zijn onder meer: Imgur, OKCupid, Eventbrite, Amazone, de FBI website en alle andere websites die een van de OpenSSL versies draaien met de fout. Google, Twitter en Facebook zouden niet te maken hebben met het Heartbleed-lek.
Er zijn al verschillende aanvallen beschikbaar die gebruik maken van het lek; één aanval geeft een hacker bijvoorbeeld toegang tot de cookies van de laatste persoon die een server heeft bezocht en onthult daarmee persoonlijke informatie. Codenomicon probeerde het uit op haar eigen website en ontdekte dat ze zonder enige gegevens in staat waren om de beveiligende sleutels, gebruikersnamen, wachtwoorden, chat-berichten, e-mail, belangrijke bedrijfsdocumenten en communicatie te achterhalen.
Heartbleed is voor organisaties zoals de NSA daarentegen een goudmijn. De NSA is al in staat om op grote schaal gebruikersverkeer te onderscheppen en met het Heartbleed-lek krijgen ze bovendien toegang tot beveiligingssleutels om zo gecodeerde berichten te kunnen ontcijferen.
Wat kun je er aan doen?
Vrij weinig als je een gebruiker bent van het internet. Je kunt hier een lijst vinden van websites die getroffen zijn door het lek. Je kunt deze websites beter even vermijden en in elk geval je wachtwoorden aanpassen. Als je zelf een website beheert dan moet je het lek dichten of een nieuwe versie van OpenSSL implementeren en elke gebruiker oproepen om een nieuw wachtwoord aan te maken.