Naar de content

Heartbleed: groot beveiligingslek op internet

Heartbleed.com

Een groot beveiligingslek, genaamd Heartbleed, maakt al jaren het gebruik van veel websites waaronder Facebook, Tumblr, Gmail en Yahoo onveilig. Dat werd nu pas ontdekt. Waarschijnlijk zijn er miljoenen inlog- en creditcardgegevens in handen van cybercriminelen gekomen.

De website Heartbleed.com geeft informatie over de bug.

Heartbleed.com

Maar liefst een half miljoen sites zijn als onveilig aangeduid. De impact van het lek is maar lastig te onderschatten, benadrukken deskundigen. Neem de toonaangevende cryptografiedeskundige Bruce Schreier. Catastrofaal noemt hij het. “Op een schaal van 1 tot 10, is dit een 11”, schrijft hij op zijn blog.

Wat voor bug is Heartbleed precies? Het lek zat in de manier waarop verbinding wordt gemaakt met een website. Stel je opent een internetpagina, dan wordt er een verbinding opgezet tussen jouw webbrowser en de server van de site die je bezoekt. Meestal gaat dit via een beveiligde verbinding, te herkennen aan een slotje in de adresbalk. Daarbij sturen jouw browser en de server om de zoveel tijd berichtjes naar elkaar waarmee ze laten zien dat ze er nog zijn. “Deze berichtjes noemen we ook wel heartbeats, een hartslag”, zegt eigenaar Walter Belgers van IT-beveiliger Madison Gurkha.

Creditcardgegevens

De boodschappen bestaan vaak uit kleine getalletjes, die weer door de ander worden teruggestuurd. En daarbij is het mis gegaan. Die berichten geven namelijk ook de grootte van de boodschap aan. “Wanneer een browser aan gaf dat een bericht uit vierenzestigduizend tekens bestond, dan ging de server zoveel tekens terugsturen. En die informatie werd gehaald uit het geheugen. Daarin kon belangrijke info zitten, waaronder wachtwoorden van je mail of creditcardgegevens.”

Vrijgegeven in het publieke domein

Alleen sites die voor deze communicatie gebruik maken van een bepaalde versie van het programma OpenSSL kregen te maken met het lek. Dat zijn onder meer populaire pagina’s als Google, Dropbox, Facebook, Yahoo, Tumblr en Gmail. Het lek heeft jarenlang bestaan. Op de website GitHub staat een lange lijst met websites die te maken hebben met Heartbleed. Via deze tool kan je testen op een website Heartbleedproof is of niet.

“Inmiddels hebben veel sites het lek gedicht door de software van OpenSSL te updaten”, zegt Aiko Pras, onderzoeker aan de vakgroep ontwerp en analyse communicatiesystemen van de Universiteit Twente. “De grote vraag is wie er voordat de bug werd verholpen misbruik van heeft gemaakt. Dat valt niet goed na te gaan.”

Maar ga er maar vanuit dat het is gebeurd, stellen Belgers en Pras. Schattingen lopen uiteen, maar verwacht wordt dat er miljoenen inlog- en creditcardgegevens in de handen zijn gekomen van cybercriminelen. Dat is zorgwekkend, maar maakt het niet tot een ontzettend groot probleem volgens de deskundigen. “Het is zeker een serieus probleem. Maar het blijft onduidelijk hoeveel misbruik daadwerkelijk is gemaakt”, zegt Pras.

Een 19-jarige informaticastudent is in Canda opgepakt, omdat hij via het Heartbleedlek heeft ingebroken in de site van de Canadese Belastingdienst. Het is voor zover bekend de eerste arrestatie in verband met het grote beveiligingslek Heartbleed. De student heeft negenhonderd burgerservicenummers achterhaald. Al eerder werd daarom de site van de Canadese belastingdienst offline gehaald.

Illusie

Dit soort lekken voorkomen is onmogelijk zeggen de experts. “Software blijft buggy”, zegt Belgers. Pras vult aan: ‘als een student tegen mij zegt dat de laatste fout uit de code is gehaald, moet ik altijd hard lachen. Dan verdient hij of zij een onvoldoende. Het is een illusie dat software zonder fouten is’.

Dat betekent niet dat er niets aan te doen is. Transparantie is belangrijk. Laat het vooral weten wanneer iets mis is gegaan, benadrukt Pras. “Daarnaast moeten we de cyberveiligheid beter onderzoeken. Door voortdurend te testen of de software veilig is.”

Wat moeten mensen doen die gebruik maken van een site die door Heartbleed is getroffen? “Verander je wachtwoorden”, zegt Belgers. De meeste sites hebben inmiddels de software geüpdatet. Maar gebruikers weten niet zeker of de afgelopen twee jaar gegevens gestolen zijn door het lek. Wie de inloggegevens nu aanpast loopt dus minder risico dat cybercriminelen nog meer informatie buit maken. Kijk ook na of sites die je gebruikt inmiddels de software heeft aangepast. “Het kan ook zijn dat het certificaat, dat een beveiligde verbinding met bijvoorbeeld een bank garandeert, is gestolen. Dan dient de eigenaar van de site die opnieuw aan te vragen. Het lastige is, dat het lek geen spoor achterlaat. Of jouw gegevens zijn gestolen weet je dus nooit zeker.”