Home Security Heartbleed na meer dan een jaar – waar wachten websitebeheerders op?

Heartbleed na meer dan een jaar – waar wachten websitebeheerders op?

20

Beveiligingsprofessionals worden nog maar al te vaak beschuldigd van het hypen van beveiligingsproblemen. Toch was de commotie en aandacht vorig jaar volkomen terecht. Neel Mehta van Google ontdekte toen Heartbleed, een lek in de cryptografische programmeerbibliotheek OpenSSL (versie 1.0.1-1.0.1f, 1.0.2-beta en 1.0.2-beta1). OpenSSL wordt gebruikt door miljoenen websites (het is de ’S’ in HTTPS) en allerhande apparaten, van firewalls tot IP-telefoons. Het kan ertoe leiden dat encryptiesleutels en daarmee gebruikersnamen, wachtwoorden en andere informatie worden prijsgegeven. In mijn ogen zijn dit geen zaken om laconiek over te doen. Inmiddels is Heartbleed al wel op de achtergrond geraakt. Mijn vraag is dan ook of dit wel terecht is.

Maar wat maakt Heartbleed zo ernstig? De kwetsbaarheid die Heartbleed met zich meebrengt resulteert in het slechtste van beide werelden. Het is net alsof het slot van de voordeur kapot is en er een bordje bij hangt dat aangeeft dat het slot kapot is. Het betekent niet alleen dat de encryptie er net zo goed niet had kunnen zijn, maar biedt externe partijen ook een manier om websites op deze kwetsbaarheid te scannen. Heartbleed heeft ongeveer een half miljoen websites kwetsbaar gemaakt, maar professionals van OpenSSL boden vrijwel direct een eenvoudig toepasbare fix voor dit probleem. De realiteit is echter dat er nog altijd verbazingwekkend veel websites zijn waar dit nog altijd niet is toegepast.

Google dork
Inzicht in de stand van zaken is geen hogere wiskunde. Iedereen kan daar achter komen door gebruik te maken van een ‘Google dork’, oftewel een technische zoekopdracht die kwetsbaarheden blootlegt in de beveiliging van bestanden die via het internet benaderbaar zijn (zoals de FBI hier beschrijft). Een zoekopdracht op de bovenstaande OpenSSL-extensies levert maar liefst meer dan 27.000 treffers op. Daarnaast zijn gebruikers met diverse testen in staat om na te gaan of een website nog altijd kwetsbaar is.

Is dat het geval, dan is het zaak om die systemen te patchen en waar van toepassing ook uw wachtwoorden te wijzigen en SSL-certificaten in te trekken of vervangen. Vorig jaar april gaf Ed Felten, professor Computer Science bij Princeton University advies voor websites die zich wilde beschermen tegen Heartbleed en publiceerde een simpele checklist. Deze checklist blijft onverminderd van kracht, zowel voor beheerders van websites als bezoekers die belang hechten aan een goede beveiliging.

Geen excuses meer
Waar het op neerkomt, is dat een exploit op ongekende schaal ongepatched blijft om werkelijk geen andere reden dan onwetendheid en een gebrek aan prioriteitstelling. Hostingproviders in het bijzonder (en we kennen er allemaal minimaal één) hebben absoluut geen excuus meer om hun servers niet razendsnel op orde te krijgen. De Heartbleed-gate is inmiddels al enige tijd naar de achtergrond verdwenen, maar de perikelen om het lek zijn nog lang niet overal opgelost. Waar wachten websitebeheerder nog op?

Dirk Geeraerts, idp expert bij Gemalto

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here