Dinsdag 23/07/2019

Vijf vragen

Internet in paniek om Heartbleed - hoe erg is het eigenlijk?

Beeld REUTERS

Het grootste lek uit de geschiedenis van het internet, wordt het door sommigen al genoemd. Het internet is in de ban van Heartbleed: een lek in een veelgebruikt beveiligingscertificaat. Moet u nu als de sodemieter uw wachtwoorden vervangen, of loopt het zo'n vaart niet?

Wat is Heartbleed precies?
Het gaat om een lek in OpenSSL, populaire software die wordt gebruikt om internetverbindingen te beveiligen en af te schermen voor kwaadwillenden. Secure Sockets Layer (SSL) wordt gezien als het hart van de beveiliging van internettransacties. Het gebruik van OpenSSL is te herkennen aan het groene slotje dat naast het internetadres in uw browser verschijnt.

In een extensie, zeg maar een aanvullend stuk code, is nu een fout ontdekt. Daardoor kunnen kwaadwillenden relatief gemakkelijk het computergeheugen binnendringen en bijvoorbeeld beveiligde gegevens en geheime sleutels onderscheppen. Er wordt namelijk een datapakketje van 64 kilobyte groot meegestuurd. Welke gegevens dat pakketje bevat, is willekeurig. Maar door telkens opnieuw van deze weeffout misbruik te maken, kunnen cybercriminelen gevoelige informatie in handen krijgen.

De extensie met de weeffout heet Heartbeat, en het ontdekte lek werd daarom al snel Heartbleed gedoopt. Het lek is als een wond waaruit data bloedt die eigenlijk versleuteld had moeten zijn. En kwaadwillenden hebben daar in potentie ruim twee jaar misbruik van kunnen maken. In hoeverre dat ook is gebeurd is niet duidelijk, er zijn vooralsnog geen concrete aanwijzingen voor. Overigens zijn niet alle diensten en software die van Open SSL gebruik maken ook meteen kwetsbaar voor dit lek. Het geldt voor specifieke versies.

OpenSSL behoort wereldwijd tot de meest gebruikte beveiligingssoftware. Het wordt aangewend voor een breed scala aan toepassingen, van de beveiliging van betaalverkeer tot de versleuteling van e-mail en chats. Paniek alom dus, toen deze week het lek werd ontdekt.

Beeld rv

Maar hoe erg is het daadwerkelijk?
Het is volgens beveiligingsexperts moeilijk om in te schatten hoe groot de impact precies is. Maar dat het probleem niet onderschat moet worden, daar zijn ze het ook over eens. 'Het is simpelweg de grootste kwetsbaarheid sinds het internet massaal wordt gebruikt', zegt Matthew Prince van cybersecuritybedrijf Cloudflare bijvoorbeeld in de Wall Street Journal.

De belastingdienst in Canada sloot uit voorzorg zijn website en maakte het daarmee onmogelijk om de belastingaangifte te doen. Dat terwijl Canadezen nog maar drie weken hebben om hun aangifte in te dienen.

De Amerikaanse cryptografiedeskundige Bruce Schneier noemt Heartbleed op zijn weblog 'catastrofaal'. 'Op een schaal van 1 tot 10 is dit een 11. Een half miljoen websites zijn kwetsbaar, inclusief die van mijzelf.' Shcneier staat niet specifiek bekend als iemand die heel snel alarm slaat als er een lek is.

ICT-onderzoeksjournalist Brenno de Winter relativeert het enigszins. 'Aan de ene kant is het ernstig, aan de andere kant is het goed dat dit een keer aan het licht komt. Er wordt nu heel grondig naar deze systemen gekeken. Maar het is zaak dat bedrijven en servereigenaren snel updaten, want nu het lek bekend is zitten internetcriminelen er natuurlijk ook bovenop. Het is best een ernstig beveiligingslek.'

Wie zijn er getroffen?
Welke diensten, bedrijven en instellingen gevolgen van het lek ondervinden, hangt af van welke software en besturingssystemen zij gebruik maken. Daarom is de impact ook moeilijk te meten, nog afgezien van het feit dat onduidelijk is in hoeverre er überhaupt misbruik van het lek is gemaakt.

Van de Nederlandse banken is bijvoorbeeld bekend dat zij zelf geen gebruik maken van OpenSSL. Maar voor de koppeling met het iDeal-betaalsysteem kan het systeem soms wel weer vereist zijn. Van een aantal belangrijke sites en diensten is bevestigd dat er als gevolg van Heartbleed specifieke data is gelekt. Daaronder zijn onder meer de e-mailservice van Yahoo en de site van de FBI. Ook Airbnb and Netflix zijn enige tijd kwetsbaar geweest, en Google, Gmail en Tumblr zijn eveneens aangetast.

Hoe wordt het lek gedicht?
De meeste bekende diensten hebben inmiddels de kwetsbaarheid gerepareerd middels een update. Maar veel populaire besturingssystemen die van OpenSSL gebruik maken, waaronder Ubuntu en Debian, werden niet eerder dan het grote publiek op de hoogte gesteld van het lek. Daardoor hebben zij niet tijdig een update beschikbaar.

Andere bedrijven, zoals Facebook en Google, waren wel tijdig op de hoogte. Zij zeggen dat hun gebruikers zich geen zorgen hoeven te maken en hun wachtwoorden niet hoeven aan te passen.

Wat kan ik zelf doen om te voorkomen dat mijn gegevens op straat komen te liggen?
Individuele gebruikers kunnen het best hun wachtwoord veranderen, als een dienst die zij gebruiken kwetsbaar is (geweest). Om dat te controleren, zijn er verschillende websites in het leven geroepen, zoals Heartbleed Test.

Voor gebruikers van de browser Google Chrome is er de extentie Chromebleed. Lastpass, een site waarop je wachtwoorden kunt beheren, scant sites automatisch op kwetsbaarheden.

Technologiesite Mashable kwam vandaag ook met een handig overzicht van veelgebruikte diensten, waarop te zien is of het nuttig is om het wachtwoord aan te passen. Bij websites en diensten die het lek nog niet hebben gedicht, wordt overigens afgeraden om het wachtwoord te veranderen. Want dan wordt het voor kwaadwillenden juist gemakkelijker om het nieuwe wachtwoord te achterhalen.

'Dit is inderdaad een goed moment om je wachtwoorden te veranderen', aldus Brenno de Winter. 'Maar dat geldt eigenlijk altijd als er een beveiligingslek gevonden wordt. En dat gebeurt best vaak.'

Chromebleed-extensie. Beeld rv
Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle verhalen van De Morgen rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar info@demorgen.be.
© 2019 MEDIALAAN nv - alle rechten voorbehouden