
5 brandende vragen over OpenSSL-gat Heartbleed
Wat is Heartbleed precies, wat zijn de gevolgen en wat moeten we doen om weer veilig te kunnen internetten?
Wat is Heartbleed precies, wat zijn de gevolgen en wat moeten we doen om weer veilig te kunnen internetten?

5 brandende vragen over OpenSSL-gat Heartbleed
Wat is Heartbleed precies, wat zijn de gevolgen en wat moeten we doen om weer veilig te kunnen internetten?
1. Wat is Heartbleed nou eigenlijk?
Heartbleed is de naam die beveiligingsonderzoekers hebben gegeven aan een kritiek beveiligingsgat in OpenSSL. Deze versleutelingssoftware gebruikt een TLS-extensie genaamd Heartbeat die is bedoeld om de beveiligde verbinding tussen een client en de server open te houden. Deze feature werd in februari 2012 officieel toegevoegd aan het TLS-protocol.
Door een implementatiefout van deze TLS-optie in OpenSSL kunnen aanvallers zo'n Heartbeat-request van een paar bitjes sturen naar een server waarmee het lijkt of er eigenlijk 64K aan informatie in gestuurd. De afzender krijgt daar vervolgens 64K aan data voor terug. Het is dus een soort omgekeerd buffer-overflow issue, waarbij een aanvaller juist minder informatie naar zijn doelwit stuurt, om deze gegevens te laten bloeden.
De kwetsbare server stuurt op de TLS-request RAM-gegevens terug en daarin zitten onder meer credentials van gebruikers die hebben ingelogd. Beveiligingsonderzoekers hebben de laatste dagen bij diverse grote partijen laten zien dat er inderdaad op deze manier wachtwoorden naar buiten lekken. Het gaat daarbij niet om hele databases in één keer, dus gerichte aanvallen om een specifiek gebruikersaccount te kraken zijn lastig.
2. Hoe groot is dit probleem?
De schattingen daarvan lopen uiteen. Apache en nginx-webservers gebruiken OpenSSL en zijn of waren dus in veel gevallen kwetsbaar. Het probleem is deze week onthuld, maar het gat heeft meer dan twee jaar opengestaan. Het is onduidelijk of cybercriminelen (of overheidsdiensten) dit gat hebben gebruikt, maar er zijn wel aanwijzingen dat reeds in november vorig jaar sites al informatie hebben gelekt via de Heartbeat-implementatie van OpenSSL.
De fout zit in OpenSSL 1.0.1 t/m versie f (en de bèta van versie 1.0.2). In OpenSSL 1.0.1g is het probleem gepatcht, dus sitebeheerders die OpenSSL gebruiken moeten dat zo spoedig mogelijk bijwerken. Tweederde van alle webservers zou kwetsbaar zijn en van alle sites die TLS implementeren, gebruikt zo'n 17 procent de OpenSSL-library.
Daarbij moet wel worden aangetekend dat het mogelijk is dat wachtwoorden zijn gestolen (en erger: certificaten) maar dat het verre van zeker is dat jouw wachtwoord is ontvreemd. SSL-certificaten van de afgelopen twee jaren zijn mogelijk gecompromitteerd en daardoor zijn beveiligde sessies alsnog te ontsleutelen. Maar dan moet je dat dataverkeer wel hebben opgeslagen. Een organisatie als de NSA heeft daar dus wel voordeel bij.
3. Wat is er allemaal kwetsbaar?
De website Mashable heeft een inventarisatie gemaakt van welke populaire websites kwetsbaar zijn. Een half miljoen sites zijn onveilig geworden door het gat, stelt beveiligingsexpert Bruce Schneier, waaronder zijn eigen site. Hij noemt het OpenSSL-gat dan ook 'catastrofaal'. "Op een schaal van 1 tot 10 is dit een 11", schrijft hij. Op GitHub staat een lijst van 1000 sites en of ze kwetsbaar zijn of waren.
OpenSSL wordt niet alleen gebruikt door veel webservers, maar ook bijvoorbeeld clients als apparaten met Android 4.1. In versie 4.2 is de software bijgewerkt en niet meer gevoelig voor Heartbleed. Ook routers en andere apparaten zijn kwetsbaar en daarom kan dit lek nog een venijnig en langdurig staartje hebben (zie vraag 5).
If your private keys are compromised, don[&]#39[/&]t create a new certificate from the original CSR. That does nothing. cc: @heroku
[&]mdash[/&] Nick Sullivan (@grittygrease) April 8, 2014
Op de volgende pagina: wat moet ik als gebruiker doen en is dit probleem nu voorbij?
Zinvol artikel! Wellicht nog leuk ter aanvulling iets over de zin en noodzaak voor SSL VPN oplossingen
Aan de ene kant verbaasd het me geheel niet: begin dit jaar heeft de FreeBSD-guru PHK de kwaliteit van de openssl-code tot op de grond afgebrand (Zie de fosdem video)
Anderzijds, wordt het weer veel groter gemaakt dan het is. Ja, de mogelijkheid bestaat om blokken geheugen uit te lezen (met MOGELIJK gevoelige info), maar hoe vaak is van deze mogelijke exploit misbruik gemaakt? Natuurlijk moet het probleem aangepakt worden, maar overdrijven is ook een vak.....
Er zijn wel ernstiger (security-) problemen in de wereld!
Voordat er onzin ontstaat: zie uitslag van wedstrijd cloudfare waarbij de private keys zijn buitgemaakt binnen 9 uur na bekendmaking.
Totale controle en erger kan niet!
Het is zowat het ergste wat je in de cryptografie kunt overkomen: het buitmaken van een Private-Key. En u vindt dat er wel ernstiger problemen zijn?
Reageer
Preview