Bron: nieuwsbrief Z24 11.4.2014
In de week dat de ondersteuning voor Windows XP stopt, zet een gigantisch beveiligingslek heel het internet op zijn kop.
Maar het is niet het dertien jaar oude besturingssysteem van Microsoft dat nog een keer alle krantenkoppen opeist en op een dramatische manier afblaast.
Nee, het gevreesde lek zit in de techniek die ervoor zorgt dat bij het inloggen op websites een ander niet mee kan gluren met wat je typt. Althans, dat dachten we. Het lek blijkt er al twee jaar te zitten zonder dat het iemand is opgevallen.
Grote bedrijven als Google, Facebook en Yahoo zijn getroffen door Heartbleed, zoals het beveiligingslek is gedoopt. Die naam geeft de omvang van het probleem weer: het hart van het veilige internet is geraakt. Als je niet oppast, geef je al je geheimen prijs.
Veel websites en diensten hebben het lek …..
inmiddels gedicht. Toch is het raadzaam je wachtwoord te veranderen van onder meer Gmail, Facebook en Dropbox. Lees meer daarover in het kader onderaan.
Beveiligde verbindingen op internet met OpenSSL
Wat is er nu aan de hand? Als je inlogt bij bijvoorbeeld je bank, zie je een groen slotje in de adresbalk van je browser. Dat betekent dat de verbinding beveiligd is.
Om zo’n verbinding tot stand te brengen en in stand te houden, moeten jouw computer en de server waarmee deze in contact staat zich aan een vast stappenplan houden. Dat is vastgelegd in een protocol dat Transport Layer Security, ofwel TLS heet.
Het schrijven van software die zich aan dat protocol houdt, is zeker geen werk dat een doorsnee programmeur kan doen. Het versleutelen van informatie is nu eenmaal erg ingewikkeld; een miniem foutje kan grote gevolgen hebben.
Vandaar dat veel programmeurs gebruikmaken van OpenSSL, een bibliotheek waarin alle basisfuncties voor een versleutelde verbinding zitten. De broncode van OpenSSL is openbaar, waardoor iedereen fouten kan signaleren. In theorie zou het daarom veiliger moeten zijn dan software die door slechts een persoon of bedrijf is geschreven.
Pakketjes versturen, maar niet de inhoud checken
Het beveiligingslek dat dinsdag wereldkundig werd gemaakt draait om een klein gedeelte van het TLS-protocol. Jouw computer en de server wisselen op regelmatige tijdstippen korte berichten met elkaar uit om te controleren of de andere kant nog steeds aanwezig is. Deze korte berichten worden een hartslag genoemd.
Dat werkt zo. Jouw computer stuurt een pakketje met gegevens samen met een getal dat aangeeft hoe groot dat pakketje is. De andere kant moet in principe een identiek pakketje terugzenden om te bevestigen dat de verbinding er nog is.
Maar het gaat mis bij de controle van de inhoud van het pakket. De kant die antwoordt kijkt niet naar hoeveel data er daadwerkelijk binnen is gekomen, maar gaat puur af op hoeveel jouw computer zegt dat-ie heeft verstuurd. Vervolgens stuurt de server evenveel data terug, ook al zit er minder in het oorspronkelijke pakket.
Om het naar posttermen te vertalen: de server checkt alleen de sticker op de doos. Als de plakker zegt dat het binnengekomen pakket 2 kilo weegt, dan stuurt-ie een pakket van 2 kilo terug. Ook al zit er maar 1,5 kilo in de doos. Hij vult dat aan met dingen die hij nog binnen handbereik op de plank heeft liggen.
Waarom Heartbleed zo erg is
Die dingen die als opvulling gebruikt worden in de retourzending, zijn nu juist de reden waarom dit lek zo gevaarlijk is. De server pakt daarvoor namelijk informatie uit het interne geheugen en daarin zitten vaak onversleutelde gebruikersnamen, wachtwoorden en andere gevoelige informatie.
Nu zijn die gegevens slechts tijdelijk opgeslagen; als je de computer opnieuw opstart, wordt het systeemgeheugen geleegd. Maar een kwaadwillende kan een pakket met een verkeerde sticker naar de server sturen, en zo informatie peuren uit het interne geheugen.
De hartslag-pakketjes zijn maximaal 65 kB groot, dus het gaat om kleine beetjes informatie per keer. Maar die verzoeken worden nergens bijgehouden. Een ‘aanvaller’ kan onbeperkt pakketjes sturen zonder een spoor achter te laten en zo druppelsgewijs het geheugen leegtrekken. Alsof het hart bloedt, vandaar de naam Heartbleed.
Hoe erg is het?
De kwetsbaarheid bestaat al sinds maart 2012 en is in OpenSSL geslopen door toedoen van een Duitse programmeur, die juist enkele gaten probeerde te dichten. Het is niet met opzet gebeurd, geeft hij aan tegenover The Sydney Morning Herald.
Het ‘ongelukje’ kan in potentie grote gevolgen hebben. Twee derde van alle webservers en websites ter wereld zou onveilig zijn. De vermaarde versleutelingsexpert Bruce Schneier noemde de situatie een 11 op een schaal van 1 tot 10.
Over de werkelijke schade is echter nog niets bekend. Veel banken en internetgiganten als Facebook, Google en Amazon hebben het lek inmiddels gedicht. In de top-1000 van grootste websites, waren maar veertig sites vatbaar voor het lek.
Wachtwoord veranderen
Ondanks dat de schade op het eerste gezicht mee lijkt te vallen, is het raadzaam om wachtwoorden te veranderen. Check van tevoren wel of de betreffende site het lek heeft gedicht, anders loop je kans dat het nieuwe wachtwoord ook op straat komt te liggen.
Mashable heeft een overzicht van de grote internetconcerns die getroffen zijn door Heartbleed. De site raadt aan om je wachtwoord te wijzigen voor onder meer Facebook, Gmail en Pinterest. Voor overige websites kun je met deze tool nagaan of het gat in OpenSSL is gedicht.
http://www.z24.nl/technologie/heartbleed-hoe-een-enorm-beveiligingslek-het-internet-doet-bloeden-452587