heartbleed-bug

Aardbeving op het Internet: de heartbleed-bug

De afgelopen dagen werd het Internet getroffen door een beveiligings-aardbeving van ongekende kracht. Voor de ongeoefende volger van beveiligings-bugs zou het probleem nog afgedaan kunnen worden als een fout in een stukje open-source-software en wie gebruikt dat nu voor serieuze toepassingen? Maar waarom haalde dit probleem dan al snel de (inter)nationale pers?

heartbleed & security

Foutje

Het 'foutje' in kwestie zat niet in zomaar een software-module, het zat (al een jaar of twee) in een module die vele professionele gebruikers van het Internet inzetten zodat we allemaal veilig kunnen communiceren over het niet meer uit onze maatschappij weg te denken data-netwerk.

Communicatie

Communiceren via het Internet willen we allemaal, maar hoe houden we het veilig? We willen zeker weten dat de communicatie niet door iemand anders gelezen kan worden (vertrouwelijkheid), niet onderweg door iemand ongemerkt veranderd kan worden (integriteit) en dat de communicatie-partner is wie hij zegt te zijn (identiteit). Zonder die drie componenten te borgen is veilig communiceren onmogelijk. En laat de heartbleed-bug nu net zijn oorsprong vinden in beveiligings-software die dit veilig-communiceren mogelijk moet maken! Als gevolg van de bug 'lekken' er gegevens weg die rechtstreeks de privacy aantasten en alle veilig geachte communicatie mogelijk onveilig maken.

Lek nog niet dicht

Inmiddels zijn er tegenmaatregelen beschikbaar die het lek dichten, waarmee veel beheerders wereldwijd aan het werk zijn gegaan om de oorzaak van de heartbleed-bug te stoppen. Maar daarmee zijn we er helaas niet. Nog lang niet. Want als het al ongeveer twee jaar mogelijk is om privé-gegevens te verzamelen via dit lek, welke data die je dacht veilig te delen via het Internet is dan mogelijk toch weggelekt? En wat is daarmee gedaan? Ik ben bang dat we het antwoord op die vraag nooit helemaal zullen weten, maar zeker is dat vele componenten in de beveiligingsketen de komende dagen vervangen dienen te worden aangezien deze door de heartbleed-bug weggelekt kunnen zijn. Daarbij spelen de beheerders van alle kwetsbare webservers (en andere componenten) een belangrijke rol. Het reparatie werk is nu grotendeels gedaan, echter de rol van de eindgebruiker valt niet te onderschatten. Want ook als je geen webserver beheert, maar wel met een lekkende server veilig dacht te communiceren is er een kans dat je gegevens 'op straat liggen'.

Wachtwoorden

De hoogste tijd om je wachtwoorden te vervangen van de sites waarvan je zeker weet dat ze het lek niet (meer) bevatten (dat kun je hier testen). En dan zijn er de aanvallers die proberen misbruik te maken van de ontstane situatie. Klik niet op links in emails die aanmanen gebruikersnamen en wachtwoorden ergens in te voeren, deel geen gebruikersnamen en wachtwoorden met vriendelijk bellende service-desks. Gebruik een gezonde portie achterdocht. Zet dezelfde antennes aan die ervoor zorgen dat je aan het eind van een drukke winkelstraat je geld en smartphone nog hebt. Vertrouw niet zomaar alles op je scherm(pje) en ga als je het niet vertrouwt, net als in het echte leven, even aan de andere kant van de straat verder.

Security

Voor de toekomst moet de Heartbleed-bug elke security expert of it-manager in ieder geval aan het denken zetten over waar security op vertrouwt. Je mag verwachten dat er een zekere veiligheid uitgaat van producten die diverse producenten ter beschikking stellen (klanten van HP TippingPoint NGIPS hadden met Digital Vaccine de Heartbleed-dreiging snel onder controle). Maar uiteindelijk is het als organisatie relevant om zelf een vangnet te bouwen, het liefst in een gelaagde constructie. De website van de NCSC heeft nuttige Heartbleed-informatie beschikbaar, voor het geval je er nog eens (opnieuw) in wilt duiken.

(bericht is van Channelweb- Opinie - Henk Janssen)