Cybercrime14.04.2014

ESG over de Heartbleed bug: ‘Trek alle softwarecertificaten in’


De internetcommunity werd vorige week opgeschrikt door een zeer ernstig lek in de Heartbeat-extensie van OpenSSL. “Heartbleed, zoals de bug is gedoopt, heeft ernstige gevolgen voor het hele web,” zo oordeelt Will Kamminga, Directeur bij ‘Certification Service Provider’ ESG de Electronische Signatuur.

De inhoud van het geheugen van een server – die onder normale omstandigheden wordt beschermd door SSL/TLS-encryptie – kan door de bug op straat komen te liggen. Dan kan worden gedacht aan opgeslagen gebruikersnamen en wachtwoorden, e-mailverkeer en geheime sleutels en certificaten van een server. Met de geheime sleutels van certificaten kan de aanvaller informatie achterhalen uit versleutelde verbindingen die worden gebruikt voor bijvoorbeeld websites, e-mail en VPN.

Volgens Netcraft, een internetbedrijf dat onder andere internetverkeer analyseert, is ongeveer 17% van de SSL-webservers kwetsbaar voor de Heartbleed-bug. In totaal gaat het dan om ongeveer een half miljoen websites. Onder de kwetsbare sites bevinden zich volgens Netcraft gerenommeerde namen zoals Twitter, Tumblt, Steam, Yahoo en Dropbox.

De impact is veel groter
Volgens Kamminga is de impact van de bug echter veel groter dan de cijfers van Netcraft doen vermoeden. “Direct of indirect is waarschijnlijk iedereen getroffen door deze kwetsbaarheid. Veel online diensten, van sociale netwerksites tot aan overheidssites, gebruiken TLS om zichzelf aan de bezoeker te identificeren en privacy en transacties te beschermen. Maar ook client-side software op de computer van de gebruiker kan de gegevens van die computer blootstellen op het moment dat er verbinding wordt gemaakt met een gecompromitteerde dienst.”

De impact van de bug gaat bovendien verder dan webservers; ook routers, modems en mailservers die gebruikmaken van OpenSSL – met de bewuste Heartbeat-extensie ingeschakeld – zijn kwetsbaar. Het Tor Project, dat anonimiteit op het internet hoog in het vaandel heeft staan, adviseert gebruikers ‘die veel waarde hechten aan privacy’ dan ook om enkele dagen niet op internet te komen.

Advies
Kamminga van ESG adviseert: “Update uw OpenSSL software, verander al uw wachtwoorden,laat alle softwarecertificaten intrekken en installeer nieuwe certificaten met het hoogst mogelijke beveiligingsniveau. Dat niveau wordt geboden door de Public Key Infrastructure voor de overheid, kortweg PKIoverheid. Met behulp van PKIoverheid-certificaten is de informatie die personen en organisaties over het internet sturen per definitie op een zeer betrouwbare wijze beveiligd.”

Het Nationaal Cyber Security Centrum (NCSC) heeft ook een uitgebreide factsheet opgesteld over Heartbleed.

...

Verder lezen over Software

Outlook heeft een kalenderprobleem: dit is wat het inhoudt

Er zit in de nieuwe versie van de Outlook-client een bug waardoor een nieuwe afspraak in de agenda zetten geen optie is.

Online12.11.2024

Outlook heeft een kalenderprobleem: dit is wat het inhoudt

HubSpot introduceert Breeze als nieuwe medewerker voor je bedrijf

Breeze heeft Microsoft Copilot ten grondslag liggen en biedt een AI-collega die niet je werk overneemt, maar het wel eenvoudiger maakt.

Marketing11.11.2024

HubSpot introduceert Breeze als nieuwe medewerker voor je bedrijf

Microsoft Outlook loopt vast door deze heel gewone activiteit

Even snel iets kopieren-plakken is er niet meer bij voor mensen die Klassieke Outlook gebruiken. Maar er is een oplossing.

Online04.11.2024

Microsoft Outlook loopt vast door deze heel gewone activiteit

Er is een workaround
Apple Intelligence komt ook naar jouw iPhone

Binnenkort kun je Apple’s AI ook gebruiken op jouw iPhone. Hoewel, ‘binnenkort’: dit is pas in april 2025, dus nog een klein half jaar van nu.

Mobile29.10.2024

Apple Intelligence komt ook naar jouw iPhone

Adobe verrast met tool om platte tekeningen 3D te maken

Adobe heeft het nog niet ingebouwd in tool, maar het is gemaakt voor Illustrator. De tool heet nu nog Project Turntabel en het laat mensen versteld staan van wat de computer allemaal kan bedenken.

Artificial Intelligence21.10.2024

Adobe verrast met tool om platte tekeningen 3D te maken

Pas op: er is een groot beveiligingslek in WordPress-plugin Jetpack

Het zit al sinds 2016 in Jetpack en het zorgt dat gebruikers die ingelogd zijn kunnen lezen wat er in ingediende formulieren staat.

Cybercrime15.10.2024

Pas op: er is een groot beveiligingslek in WordPress-plugin Jetpack

ING introduceert Budgetteren: een maandbudget voor boodschappen, sporten, enzo

ING komt met Budgetteren. Hierdoor heb je hulp met het in de gaten houden van je uitgaven voor meer grip op je financiën.

Online14.10.2024

ING introduceert Budgetteren: een maandbudget voor boodschappen, sporten, enzo

TomTom werkt aan de slimste kaart ter wereld

TomTom werkt aan de slimste kaart ter wereld, en doet onder andere samen met grote techbedrijven. Dit ‘collaborative map making’-proces brengt een nieuw businessmodel en veranderende bedrijfsprocessen met zich mee. Met RISE with SAP kan TomTom deze veranderingen sneller absorberen en de toch ambitieuze doelen realiseren.

Technology14.10.2024

TomTom werkt aan de slimste kaart ter wereld