Update

Internet in paniek om Heartbleed - maar hoe erg is het echt?

Het grootste lek uit de geschiedenis van het internet, wordt het door sommigen al genoemd. Het internet is in de ban van Heartbleed: een lek in een veelgebruikt beveiligingscertificaat. Moet u nu als de sodemieter uw wachtwoorden vervangen, of loopt het zo'n vaart niet?

Beeld reuters

Wat is Heartbleed precies?
Het gaat om een lek in OpenSSL, populaire software die wordt gebruikt om internetverbindingen te beveiligen en af te schermen voor kwaadwillenden. Secure Sockets Layer (SSL) wordt gezien als het hart van de beveiliging van internettransacties. Het gebruik van OpenSSL is te herkennen aan het groene slotje dat naast het internetadres in uw browser verschijnt.

In een extensie, zeg maar een aanvullend stuk code, is nu een fout ontdekt. Daardoor kunnen kwaadwillenden relatief gemakkelijk het computergeheugen binnendringen en bijvoorbeeld beveiligde gegevens en geheime sleutels onderscheppen. Er wordt namelijk een datapakketje van 64 kilobyte groot meegestuurd. Welke gegevens dat pakketje bevat, is willekeurig. Maar door telkens opnieuw van deze weeffout misbruik te maken, kunnen cybercriminelen gevoelige informatie in handen krijgen.

De extensie met de weeffout heet Heartbeat, en het ontdekte lek werd daarom al snel Heartbleed gedoopt. Het lek is als een wond waaruit data bloedt die eigenlijk versleuteld had moeten zijn. En kwaadwillenden hebben daar in potentie ruim twee jaar misbruik van kunnen maken. In hoeverre dat ook is gebeurd is niet duidelijk, er zijn vooralsnog geen concrete aanwijzingen voor. Overigens zijn niet alle diensten en software die van OpenSSL gebruik maken ook meteen kwetsbaar voor dit lek. Het geldt voor specifieke versies.

OpenSSL behoort wereldwijd tot de meest gebruikte beveiligingssoftware. Het wordt aangewend voor een breed scala aan toepassingen, van de beveiliging van betaalverkeer tot de versleuteling van e-mail en chats. Paniek alom dus, toen deze week het lek werd ontdekt.

Beeld heartbleed.com
 
Dit is catastrofaal. Op een schaal van 1 tot 10 is dit een 11.
Bruce Schneier, cryptografiedeskundige VS

Maar hoe erg is het daadwerkelijk?
Het is volgens beveiligingsexperts moeilijk om in te schatten hoe groot de impact precies is. Maar dat het probleem niet onderschat moet worden, daar zijn ze het ook over eens. 'Het is simpelweg de grootste kwetsbaarheid sinds het internet massaal wordt gebruikt', zegt Matthew Prince van cybersecuritybedrijf Cloudflare bijvoorbeeld in de Wall Street Journal.

De belastingdienst in Canada sloot uit voorzorg zijn website en maakte het daarmee onmogelijk om de belastingaangifte te doen. Dat terwijl Canadezen nog maar drie weken hebben om hun aangifte in te dienen.

De Amerikaanse cryptografiedeskundige Bruce Schneier noemt Heartbleed op zijn weblog 'catastrofaal'. 'Op een schaal van 1 tot 10 is dit een 11. Een half miljoen websites zijn kwetsbaar, inclusief die van mijzelf.' Schneier staat niet specifiek bekend als iemand die heel snel alarm slaat als er een lek is.

ICT-onderzoeksjournalist Brenno de Winter relativeert het enigszins. 'Aan de ene kant is het ernstig, aan de andere kant is het goed dat dit een keer aan het licht komt. Er wordt nu heel grondig naar deze systemen gekeken. Maar het is zaak dat bedrijven en servereigenaren snel updaten, want nu het lek bekend is zitten internetcriminelen er natuurlijk ook bovenop. Het is best een ernstig beveiligingslek.'

Mededeling op de website van de Canadese belastingdienst. Bezoekers worden geïnformeerd over de reden waarom de site niet te gebruiken is. Beeld reuters

Wie zijn er getroffen?
Welke diensten, bedrijven en instellingen gevolgen van het lek ondervinden, hangt af van welke software en besturingssystemen zij gebruik maken. Daarom is de impact ook moeilijk te meten, nog afgezien van het feit dat onduidelijk is in hoeverre er überhaupt misbruik van het lek is gemaakt.

Van de Nederlandse banken is bijvoorbeeld bekend dat zij zelf geen gebruik maken van OpenSSL. Maar voor de koppeling met het iDeal-betaalsysteem kan het systeem soms wel weer vereist zijn. Van een aantal belangrijke sites en diensten is bevestigd dat er als gevolg van Heartbleed specifieke data is gelekt. Daaronder zijn onder meer de e-mailservice van Yahoo en de site van de FBI. Ook Airbnb and Netflix zijn enige tijd kwetsbaar geweest, en Google, Gmail en Tumblr zijn eveneens aangetast.

 
Het is goed dat dit een keer aan het licht komt.
ICT-onderzoeksjournalist Brenno de Winter

Hoe wordt het lek gedicht?
De meeste bekende diensten hebben inmiddels de kwetsbaarheid gerepareerd middels een update. Maar veel populaire besturingssystemen die van OpenSSL gebruik maken, waaronder Ubuntu en Debian, werden niet eerder dan het grote publiek op de hoogte gesteld van het lek. Daardoor hebben zij niet tijdig een update beschikbaar.

Andere bedrijven, zoals Facebook en Google, waren wel tijdig op de hoogte. Zij zeggen dat hun gebruikers zich geen zorgen hoeven te maken en hun wachtwoorden niet hoeven aan te passen.

Wat kan ik zelf doen om te voorkomen dat mijn gegevens op straat komen te liggen?
Individuele gebruikers kunnen het best hun wachtwoord veranderen, als een dienst die zij gebruiken kwetsbaar is (geweest). Maar als je dat te snel doet, kan dat juist averechts werken. Diensten en sites moeten namelijk wel eerst het lek hebben gedicht én het SSL-certificaat hebben vervangen. Om gemakkelijker te kunnen controleren of dat is gebeurd, zijn er verschillende websites in het leven geroepen, zoals Heartbleed Test.

Voor gebruikers van de browser Google Chrome is er de extentie Chromebleed. Lastpass, een site waarop je wachtwoorden kunt beheren, scant sites automatisch op kwetsbaarheden.

Technologiesite Mashable kwam vandaag ook met een handig overzicht van veelgebruikte diensten, waarop te zien is of het nuttig is om het wachtwoord aan te passen. Bij websites en diensten die het lek nog niet hebben gedicht, wordt overigens afgeraden om het wachtwoord te veranderen. Want dan wordt het voor kwaadwillenden juist gemakkelijker om het nieuwe wachtwoord te achterhalen.

'Dit is inderdaad een goed moment om je wachtwoorden te veranderen', aldus Brenno de Winter. 'Maar dat geldt eigenlijk altijd als er een beveiligingslek gevonden wordt. En dat gebeurt best vaak.'

Chromebleed-extentie voor Google Chrome Beeld Chromebleed
Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 de Persgroep Nederland B.V. - alle rechten voorbehouden