'NSA maakte gebruik van beveiligingslek Heartbleed'

De Amerikaanse inlichtingendienst NSA wist al zeker twee jaar lang dat er een groot lek zat in de beveiliging van websites. Hij maakte van dat lek, dat Heartbleed wordt genoemd, gebruik om gevoelige informatie te verzamelen. Dat hebben twee mensen die met de zaak bekend zijn, tegen het Amerikaanse persbureau Bloomberg gezegd. De NSA ontkent dat in een verklaring.

Heartbleed lijkt een van de grootste lekken in de geschiedenis van internet.Beeld reuters

Het besluit van de NSA om terwille van de veiligheid van de Verenigde Staten het lek geheim te houden, dreigt de discussie over de rol van computerexperts in de Verenigde Staten weer aan te wakkeren. Heartbleed lijkt een van de grootste lekken in de geschiedenis van internet. Een Amerikaanse toezichthouder heeft banken opgeroepen snel maatregelen te nemen om te voorkomen dat criminelen het lek gebruiken om wachtwoorden voor internetbankieren te stelen.

Door het lek zo lang geheim te houden verkreeg de NSA wachtwoorden en andere basisgegevens die hij kon gebruiken als bouwstenen voor ingewikkelde operaties om informatie te verzamelen. Het betekende echter ook dat miljoenen gebruikers van het internet kwetsbaar waren voor aanvallen van andere inlichtingendiensten en criminelen.

Na het nieuws van persbureau Bloomberg kwam ook het Witte Huis van president Obama met een ontkenning: 'Berichten dat de NSA of een ander onderdeel van de overheid voor april afwisten van de zogenoemde Heartbleed-kwetsbaarheid zijn onjuist.'

Ook mobiele telefoon kwetsbaar voor lek
Het veiligheidsprobleem op internet is nog groter geworden. Het 'slotje' in de adresbalk van beveiligde websites blijkt niet alleen gekraakt op gewone computers. Het lek dat zich deze week openbaarde in een van de meest gebruikte versleutelingsmethoden op internet, OpenSSL, maakt ook miljoenen mobiele telefoons en netwerkapparatuur zoals routers, switches en firewalls kwetsbaar voor aanvallen van hacker.

De weeffout in deze apparaten is moeilijker te verhelpen dan de websites die met hetzelfde mankement kampen.

De afgelopen dagen werd duidelijk dat tot 60 procent van alle websites OpenSSL gebruiken om beveiligde verbinding op te zetten met de browsers van eindgebruikers. Op die manier kunnen die zonder pottenkijkers elektronische betalingen doen (zoals via het systeem iDeal) en vertrouwelijke gegevens op internet zetten.

Weeffout
De bug beïnvloedt een specifiek onderdeel van OpenSSL, Heartbleed genoemd. Het is een stukje software dat signalen naar een website stuurt, om te zien of die online is en informatie goed ontvangt. Door de weeffout kunnen hackers valse 'klopsignalen' sturen, waarna de websites de gegevens terugsturen die op dat moment in het geheugen zitten van de computer waarop de website draait. Die gegevens kunnen vertrouwelijke informatie bevatten, zoals wachtwoorden en pincodes.

Beveiligingsdeskundigen noemen de OpenSSL-bug verreweg de grootste ramp die het internet in twintig jaar is overkomen. 'Dit is zoiets als ontdekken dat de airbags in je auto niet werken. Elke auto met een airbag heeft dan hetzelfde probleem', stelt Rafal Rohozinsky, topman van de Canadese cyberdenktank SecDev Group.

'Op een schaal van 1 tot 10 is dit een 11', zegt Bruce Schneier, een van de meest vooraanstaande veiligheidsexperts ter wereld. Dat het probleem nu ook de kop opsteekt op mobieltjes en netwerkapparatuur maakt de toestand nog zorgwekkender, vindt de Amerikaan.

Geen snelle remedie
Een snelle remedie tegen de bug in routers en firewalls is er volgens hem niet, of het moet de vervanging van de kwetsbare apparaten zijn. 'De snelste manier van upgraden vergt een vuilnisbak, een creditcard en bezoekje aan de computerwinkel.'

De grootste fabrikanten van netwerkapparatuur - Cisco, Juniper en Palo Alto - hebben toegegeven dat de weeffout in een deel van hun producten voorkomt.

Google heeft erkend dat een specifieke versie van Android - het besturingssysteem voor mobiele telefoons en tablets - vatbaar is voor het Heartbleed-manco. Het gaat om versie 4.1.1, die in 2012 een paar maanden achtereen is geïnstalleerd op nieuwe toestellen en als upgrade is gebruikt voor oudere. Google geeft geen gedetailleerde informatie over hoeveel toestellen met deze variant zijn uitgerust, maar volgens zijn statistieken draait 34 procent van alle Android-apparaten 4.1 of hoger.

Om het lek te verhelpen moeten de fabrikanten van de toestellen een update aanbieden, meldt Google. Look, een specialist in de beveiliging van mobiele telefoons, heeft een app uitgebracht waarmee eindgebruikers kunnen controleren welke versie van OpenSSL ze hebben. De Heartbleed ­Detector is te downloaden via Google Play.
Hoewel systeembeheerders overuren maken om het gat te dichten, zijn er aanwijzingen dat hackers nu al misbruik maken van de Heartbleed-bug. Een van die plekken lijkt de webserver van het populaire Call of Duty: Black Ops II, een computerspel waarbij tienduizenden gamers online soldaatje spelen, zo meldt de Britse website The Register.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden