Heartbleed: toch niet zo veilig als je dacht

Security concept: Lock on digital screenNog even in het kort: Heartbleed is een kwetsbaarheid rondom SSL. Veel websites maken gebruik van OpenSSL. Dit is een encryptie-technologie die ervoor zorgt dat het internetverkeer tussen de server en de website wordt versleuteld. Je kent dit waarschijnlijk van websites waarin je een slotje of ‘Lock’ voor de url ziet staan, bijvoorbeeld bij online bankieren. In programmeringstaal wordt deze extensie ook wel ‘Heartbeat’ genoemd. Nu is gebleken dat veel sites, ondanks het slotje, een beveiligingslek hebben en daarom wordt deze kwetsbaarheid dan ook ‘Heartbleed’ genoemd. Door deze lek/fout kan iemand anders toegang krijgen tot de informatie die de SSL beschermt. Maar wat wil dit nu zeggen? Wat zijn de risico’s voor jou en de organisatie waarin je werkt en wat kan je doen om gegevens te beschermen? Deze blog geeft antwoorden.

Toch niet zo veilig als je dacht
Kort gezegd betekent het dat de door SSL ‘beschermde’ informatie, toch niet zo veilig is als je aanvankelijk dacht. Gevoelige informatie zoals wachtwoorden, creditcardgegevens of andere persoonlijke informatie kunnen inmiddels zijn achterhaald door cybercriminelen. Zonder dat je er zelf vanaf weet. Het probleem zelf oplossen is helaas niet mogelijk. Het gaat hier immers niet om een lek op je eigen computer, tablet of telefoon. De betreffende websites zijn de enige die het lek kunnen dichten op hun websites.

Risico’s
Mijn collega Rik Ferguson schreef dit weekend onderstaande blog over Heartbleed waarin hij ingaat op de het nieuws rond het lek. Hij geeft aan dat deze commotie niet voor niets is: Heartbleed is een enorm risico voor de beveiliging van informatie van zowel consumenten als organisaties. In zijn blog beschrijft hij de belangrijkste risico’s.

Risico 1: verlies wachtwoorden, betaalgegevens
Het is voor organisaties en individuen helaas geen optie om te vertrouwen op de patches die de websites zelf moeten uitvoeren. Zelfs al hebben zij hun website geupdate dan blijven er gaten. Het gaat namelijk niet om één enkele lek, maar om duizenden kwetsbaarheden op de site. Uiteraard zullen de ergste lekken in de eerste updates worden gedicht, maar helaas sluit je daarmee niet helemaal de deur voor cybercriminelen. Je wachtwoorden, betaalgegevens en andere gevoelige (bedrijfs)informatie is dus nog steeds niet veilig.

Risico 2: gerichte aanvallen  
OpenSSL wordt niet alleen gebruikt voor webservers, maar ook in e-mailprotocollen, chat-protocollen en beveiligde Virtual Private Network (VPN)-diensten. Het zit daarnaast ook in diverse netwerk- en security-producten wereldwijd en dat is waar het lange-termijn gevaar op de loer ligt. Veel aanbieders zijn al begonnen met het onderzoeken van hun producten en diensten op de aanwezigheid van kwetsbare versies van OpenSSL en je ziet dan ook dat de lijst van de bevestigde getroffen producten blijft groeien. Daarmee belooft het een toptijd te worden voor cybercriminelen die zich bezighouden met doelgerichte aanvallen (APT’s).

Een gerichte aanval op een organisatie kent een aantal logische stappen: het verzamelen van informatie, bepalen van de juiste plaats om binnen te dringen, oprichten van command & control-systeem en dan overgaan tot actie. De Heartbleed-bug biedt een uiterst effectief nieuw wapen voor de aanvallers. Zodra de aanvaller begint met het verkennen van het netwerk van slachtoffers, zullen zij routinematig zoeken naar de aanwezigheid van de Heartbleed-kwetsbaarheid op zowel servers als clients. Als er een bug aanwezig is, biedt het een onopvallend en effectief middel om informatie te verzamelen om nog dieper in de organisatie te komen en kan het zelfs deuren openen die voorheen gesloten waren.

Jouw organisatie beschermen
Fabrikanten en leveranciers werken op dit moment tot diep in de nacht door om gevoelige producten te identificeren en patches voor te bereiden. Toch is het belangrijk om te onthouden dat het uitvoeren van zo’n patch geen probleem oplost. Het is de toepassing van de patch die telt. Het is tijd om een inventarisatie te maken van elke leverancier waarmee je te maken hebt, en vervolgens een planning te maken voor jouw patches en downtime.

Wat kan ik zelf doen?
Hoewel je jezelf niet kunt beschermen tegen dit specifieke probleem, kun je wel een aantal maatregelen nemen om jezelf te beschermen tegen de gevolgen of effecten die Heartbleed kan hebben. Daarom een aantal tips:

  • Zorg dat je beveiligingssoftware up-to-date is op al je apparaten

  • Kijk naar verdachte activiteiten, in welke vorm dan ook, op zowel je online als je financiële accounts

  • Volg adviezen van websites om je wachtwoord te veranderen direct op

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.