Voor bedrijven is het installeren van gerepareerde OpenSSL-software maar de eerste stap in het oplossen van de Heartbleed-bug. En ook voor eindgebruikers is het einde nog niet in zicht.

Advertentie

 
Het goede nieuws is dat de patches voor de Heartbleed-veiligheidslekken nu voor alle belangrijke besturingssystemen beschikbaar zijn. Het slechte nieuws is dat het installeren daarvan niet voldoende is om jouw servers en gebruikers veilig te stellen. En het ergste is dat al jouw gebruikers, zonder uitzondering, al hun wachtwoorden zullen moeten aanpassen.
 
Als je nu de neiging voelt om je hoofd in het zand te steken en het probleem te negeren: dat wil je echt niet doen. Zolang je een ongepatchte versie van OpenSSL 1.01 of 1.02 bèta draait, is het een kleine moeite voor een hacker om in te breken in je beveiligingssysteem – waarna jouw gegevens en die van al je gebruikers voor het grijpen liggen.
 
Om het nog erger te maken is nu gebleken dat dit pijnlijk grote lek al sinds begin 2012 aanwezig is op elk systeem dat de recentste versie van OpenSSL gebruikt. Andere vormen van OpenSSL, zoals Microsofts Azure SSL, zijn dan weer niet aangetast door deze bug.
 
Als jij dus gebruikmaakt van een ‘veilige’ Apache of NGNIX webserver – zoals grofweg twee derde van het internet – staat de deur van je site mogelijk al twee jaar open. Ook als je als eindgebruiker eender welke webdienst gebruikt die OpenSSL-beveiliging draait, zoals het Tor-netwerk, de Goldbug-berichtendienst, of één van de vele e-mailplatformen zoals Yahoo Mail, dan is het mogelijk dat al jouw informatie stilletjes afgetapt geweest is door hackers.

Relativeren

Een beetje relativering is hier natuurlijk op haar plaats: er hebben waarschijnlijk geen grootschalige data-raids plaatsgevonden door criminelen. Ik durf ervan uit te gaan dat we het gemerkt zouden hebben als er miljarden aan valse kredietkaarttransacties op onze afrekeningen verschenen waren. Wat de NSA allemaal met dit lek heeft kunnen doen is dan weer een ander verhaal.
 
Maar nu iedereen zich bewust is van deze gapende dambreuk in onze beveiliging kan je maar beter geen minuut meer wachten om je OpenSSL-software te updaten. Jammer genoeg is de kous daarmee nog niet af.

Nieuw certificaat

Om te beginnen moet je ook je oude SSL-certificaat terugroepen bij je Certificate Authority (CA) en een nieuw exemplaar aanvragen. Zonder een nieuw certificaat kunnen je oude sleutels – die dus recent gekopieerd kunnen zijn – nog steeds gebruikt worden om fluitend door je splinternieuwe OpenSSL te fietsen. Als je de certificaatsleutels niet vervangt, ben je eigenlijk je oude deurslot aan het vervangen door een glanzend nieuw exemplaar… dat nog steeds te openen is met je oude sleutel.
 
Als je dat achter de rug hebt, moet je je gebruikers en klanten op de hoogte brengen dat ze hun wachtwoord moeten aanpassen. Nee, dat gaan ze niet leuk vinden, maar je hebt werkelijk geen keuze. Er is een meer dan behoorlijke kans dat hun wachtwoorden geswiped zijn terwijl het lek nog open was, en je kan het je niet veroorloven om ze nog langer te laten gebruiken.

Wacht met aanpassen wachtwoorden

Als je zelf een gebruiker bent van mogelijk getroffen sites, wacht dan nog even met het aanpassen van je wachtwoorden. Doe het pas als jouw service – of het nu een bank, webwinkel of e-mailprovider is – je op de hoogte brengt dat ze het probleem opgelost hebben. En in hemelsnaam: maak nu écht werk van een sterk wachtwoord!
 
Je kunt ook elke site even nakijken met de Heartbleed-test, die kan zien of ze de patch al doorgevoerd hebben. De grote spelers, zoals Yahoo, hebben het probleem al opgelost, maar kleinere websites zullen ongetwijfeld achterop hinken. De Heartbleed-test wordt op dit moment trouwens compleet overstelpt met aanvragen, dus het kan even duren voor je je resultaat krijgt.
Voor een goede lijst met de sites, diensten en bedrijven die het belangrijkste veiligheidslek al gedicht hebben kan je bij het Internet Storm Center terecht.

Geen transacties

Als je daarbij merkt dat een site nog niet gepatcht is, doe er dan in geen geval transacties mee. Zonder overdrijven: op dit moment vraag je dan om overvallen te worden.
 
En ten slotte, hoe onaangenaam ik het ook vindt om dit toe te geven: verwacht niet dat dit probleem binnenkort volledig verdwenen zal zijn. Zoals Jeff Forristal, de CTO van Bluebox Security, recent zei, is “OpenSSL enorm doorgedrongen in allerlei toestellen, systemen en servers; het hele ecosysteem zal een hele tijd bezig zijn om alles up-to-date te brengen, en we kijken hier naar een langetermijnsituatie die wel eens jaren zou kunnen aanslepen.”

Advertentie